freeCodeCamp.org
·
React的关键“React2Shell”漏洞——您需要了解的内容以及如何升级您的应用
💡
原文英文,约1500词,阅读约需6分钟。
📝
内容提要
React Server Components(RSC)存在安全漏洞(CVE-2025-55182),攻击者可利用该漏洞执行恶意代码。使用NextJS App Router或React 19的开发者需立即更新到安全版本,以防止数据泄露和服务器控制。建议更换所有应用密钥并审查日志以确保安全。
🎯
关键要点
- React Server Components(RSC)存在安全漏洞(CVE-2025-55182),攻击者可利用该漏洞执行恶意代码。
- 使用NextJS App Router或React 19的开发者需立即更新到安全版本,以防止数据泄露和服务器控制。
- 漏洞允许攻击者发送特制的HTTP请求,迫使服务器执行恶意代码。
- React的复杂序列化和'Flight'协议导致了该漏洞的出现。
- 如果使用NextJS App Router(v13+)或启用Server Components的React 19版本,需立即采取行动。
- 攻击者可以窃取环境变量、获得Shell访问、进行横向移动、污染供应链和招募僵尸网络。
- 必须更新依赖项到已修补的NextJS和React版本,以解决该漏洞。
- 建议在修补版本后更换所有应用密钥,并审查日志以确保安全。
- 如果怀疑服务器已被攻击,需立即隔离并关闭服务器,旋转所有密钥,并重建服务器。
❓
延伸问答
React2Shell漏洞是什么?
React2Shell漏洞(CVE-2025-55182)是一个安全漏洞,攻击者可以通过特制的HTTP请求执行恶意代码,导致数据泄露和服务器控制。
哪些开发者需要立即更新他们的应用?
使用NextJS App Router(v13+)或启用Server Components的React 19版本的开发者需要立即更新到安全版本。
攻击者可以通过这个漏洞做什么?
攻击者可以窃取环境变量、获得Shell访问、进行横向移动、污染供应链和招募僵尸网络。
如何修复React2Shell漏洞?
必须更新依赖项到已修补的NextJS和React版本,具体版本包括NextJS 15.1.9及以上和React 19.1.2及以上。
如果怀疑服务器已被攻击,应该怎么做?
立即隔离并关闭服务器,旋转所有密钥,并重建服务器,确保不留后门。
React2Shell漏洞是如何产生的?
该漏洞源于React复杂的序列化和'Flight'协议对客户端输入过于信任的处理方式。
➡️
