💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
2025年11月29日,Lachlan Davidson报告了React Server Components的远程代码执行漏洞(CVE-2025-55182),严重性为10.0。该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本,已被多个中国国家关联的威胁组织利用。建议公司立即修补,攻击者可通过特定payload污染JavaScript对象,执行任意代码。
🎯
关键要点
- 2025年11月29日,Lachlan Davidson报告了React Server Components的远程代码执行漏洞(CVE-2025-55182),严重性为10.0。
- 该漏洞影响React 19.0.0至19.2.0及Next.js 15.x和16.x版本,已被多个中国国家关联的威胁组织利用。
- 建议公司立即修补,攻击者可通过特定payload污染JavaScript对象,执行任意代码。
- 漏洞利用了React Server Components的序列化/反序列化协议,攻击者可以创建promise-like对象来执行任意代码。
- 修复方法是添加hasOwnProperty检查以避免JavaScript对象原型污染,但漏洞利用过程相对简单,已有公开的利用代码。
- AWS及其他安全公司报告了活跃的利用尝试,包含武器化payload。
- 攻击者需要通过构造payload来污染对象,并利用不安全的反序列化来访问污染的属性。
- 未修补的React版本不验证序列化payload,导致攻击者可以读取文件、生成进程和运行任意命令。
- 公司应尽快修补受影响的包及其依赖的包。
➡️
