🎯 React2Shell (CVE-2025–55182) — 从React服务器组件到完全远程代码执行

React2Shell CVE-2025–55182: React服务器组件中未经身份验证的不安全反序列化，通过Flight协议导致可靠的远程代码执行。

作者：Aditya Bhatt
阅读时长：6分钟
发布日期：2025年1月4日
42 次收听 分享

🔗本文引用的所有漏洞利用载荷、HTTP请求和检测规则均已归档在GitHub上：
👉 https://github.com/AdityaBhatt3010/React2Shell-CVE-2025-55182

实验环境：https://tryhackme.com/room/react2shellcve202555182
难度级别：中级 → 高级
分类：Web漏洞利用 | 反序列化 | RCE

免费文章链接
（按下回车键或单击以查看完整尺寸图片）

🧩 任务1：引言 — 为什么React2Shell如此重要

CVE-2025–55182，绰号React2Shell，是那种会立刻让防御者感到紧张 😬 的漏洞之一。发现于2025年12月，其CVSS评分高达10.0，这已经告诉你这不是一个边缘情况的错误。

其核心，此漏洞影响了React服务器组件以及构建在其之上的框架——最著名的是Next.js。可怕的部分是什么？
CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TP8C4Zjf+hAAubI4ejj5Iu5L/35oHmWH+cXZYmUe8lhQ3Rgv8OV0gwVDobuBeg/jBIHvbpCaAbdt6lX1CWl8Gh9TD/NaYb/SAFihcFSUV/pPPqHzmNaG32VXk+Zb4r8WZo=
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）