React 团队于12月3日发布了有史以来最严重的安全漏洞公告(CVE-2025-55182),该漏洞被评为 CVSS 10.0 分——最高风险等级。这一被称为“React2Shell”的漏洞,堪比一把开启服务器大门的“万能钥匙”,攻击者无需任何身份验证,仅需发送一个精心构造的 HTTP 请求,便可直接控制企业服务器。
安全研究员 Defused 指出,这是一个评分 10.0 的严重漏洞,并且已有野外利用的报告。截至目前,全球已有超过 380 万个公开部署的 React 应用面临风险,覆盖金融、医疗、政务等关键领域。
一、漏洞危害:“炸弹级”威胁,企业安全防线或面临全线崩溃
1. 无需认证的远程代码执行
攻击者无需登录目标系统,甚至无需知道后台存在,仅通过前端交互即可触发漏洞。一旦成功利用,黑客可以在服务器上执行任意命令,包括删除数据库、植入木马、横向渗透内网等恶意操作。
2. 利用难度极低
攻击者只需构造一个恶意 HTTP 请求,即可实现攻击。目前已有公开的利用代码(PoC),并且观测到大规模在野利用。甚至有 Chrome 扩展可以检测网站是否易受此漏洞攻击。
二、影响范围:全面覆盖现代 React
开发生态,企业自查刻不容缓
此次漏洞影响了 React 生态系统的核心组件,具体影响范围如下:
React 服务器端 DOM 的 Webpack、Parcel 和 Turbopack 版本的 19.0.0、19.1.0、19.1.1 和 19.2.0 均受影响。
Next.js 框架使用 app Router 的版本影响较大,包括 14.3.0-canary.77 及以上、15、16 系列。漏洞编号为 CVE-2025-66478,CVSS 评分同样为 10.0。
其他框架工具
React Router、Waku、RedwoodJS、Vite、Parcel 等使用了 RSC 实现的框架或插件同样受到影响。
据 Wiz 云安全公司评估,39% 的云环境存在受此漏洞影响的实例。使用 React 及相关框架的企业需立即排查自身系统是否在受影响范围内。
三、修复方案:官方补丁与云防护双重防护
构建纵深防御体系
面对这一威胁,专业安全人员建议企业采取以下紧急措施:
立即升级到安全版本
React 团队已发布修复补丁,受影响用户应立即升级到以下安全版本:
React 相关包升级至 19.0.1、19.1.2 或 19.2.1 版本
Next.js 用户请升级到修复版本:15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 或 16.0.7
部署云防护,拦截漏洞利用企图
尽管升级是根本解决方案,但企业全面测试和部署补丁需要时间。在此期间,云防护产品可提供即时防护。
云防护产品采用语义引擎,能够识别并拦截针对 CVE-2025-55182 的攻击企图。
相关产品具备高并发处理能力,能够快速响应,确保业务不受影响。
