阿里云優(yōu)惠券 先領(lǐng)券再下單

React團(tuán)隊(duì)于12月3日發(fā)布了有史以來最嚴(yán)重的安全漏洞公告（CVE-2025-55182），該漏洞被評為CVSS 10.0分——最高風(fēng)險(xiǎn)等級。 這一被稱為“React2shell”的漏洞，堪比一把開啟服務(wù)器大門的“萬能鑰匙”，攻擊者無需任何身份驗(yàn)證，僅需發(fā)送一個精心構(gòu)造的HTTP請求，便可直接控制企業(yè)服務(wù)器。

安全研究員Defused指出，這是一個評分10.0的嚴(yán)重漏洞，并且已有野外利用的報(bào)告。 截至目前，全球已有超過380萬個公開部署的React應(yīng)用面臨風(fēng)險(xiǎn)，覆蓋金融、醫(yī)療、政務(wù)等關(guān)鍵領(lǐng)域。

一、漏洞危害：“炸彈級”威脅，企業(yè)安全防線或面臨全線崩潰

1.無需認(rèn)證的遠(yuǎn)程代碼執(zhí)行

攻擊者無需登錄目標(biāo)系統(tǒng)，甚至無需知道后臺存在，僅通過前端交互即可觸發(fā)漏洞。 一旦成功利用，黑客可以在服務(wù)器上執(zhí)行任意命令，包括刪除數(shù)據(jù)庫、植入木馬、橫向滲透內(nèi)網(wǎng)等惡意操作。

2.利用難度極低

攻擊者只需構(gòu)造一個惡意HTTP請求，即可實(shí)現(xiàn)攻擊。目前已有公開的利用代碼（PoC），并且觀測到大規(guī)模在野利用。 甚至有Chrome擴(kuò)展可以檢測網(wǎng)站是否易受此漏洞攻擊。

二、影響范圍：全面覆蓋現(xiàn)代React

開發(fā)生態(tài)，企業(yè)自查刻不容緩

此次漏洞影響了React生態(tài)系統(tǒng)的核心組件，具體影響范圍如下：

React核心包

react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0.0、19.1.0、19.1.1和19.2.0版本均受影響。

Next.js框架

使用App Router的Next.js框架受影響嚴(yán)重，包括>=14.3.0-canary.77、>=15和>=16版本。 漏洞編號為CVE-2025-66478（CVSS評分同樣為10.0）。

其他框架工具

React Router、Waku、RedwoodJS、Vite、Parcel等使用了RSC實(shí)現(xiàn)的框架或插件同樣受到影響。

據(jù)云安全公司W(wǎng)iz評估，39%的云環(huán)境存在受此漏洞影響的實(shí)例。 使用React及相關(guān)框架的企業(yè)需立即排查自身系統(tǒng)是否在受影響范圍內(nèi)。

三、修復(fù)方案：官方補(bǔ)丁與云WAF雙重防護(hù)

構(gòu)建縱深防御體系

面對這一嚴(yán)峻威脅，南凌科技安全專家建議企業(yè)采取以下緊急措施：

立即升級到安全版本

React團(tuán)隊(duì)已發(fā)布修復(fù)補(bǔ)丁，受影響用戶應(yīng)立即升級到以下安全版本：

• React相關(guān)包：升級至19.0.1、19.1.2或19.2.1版本

• Next.js用戶：根據(jù)當(dāng)前使用版本線，升級到15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7或16.0.7等修復(fù)版本

部署云WAF，攔截漏洞利用企圖

盡管升級是根本解決方案，但企業(yè)全面測試和部署補(bǔ)丁需要時間。在此期間，南凌科技「云WAF」可提供即時防護(hù)。

南凌科技「云WAF」采用先進(jìn)的語義引擎技術(shù)，能夠精準(zhǔn)還原層層偽裝的攻擊向量，從編碼層面智能識別并攔截針對CVE-2025-55182的攻擊企圖。

產(chǎn)品支持百萬級并發(fā)處理，99%的請求可在1毫秒內(nèi)快速響應(yīng)，確保業(yè)務(wù)不受影響。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！