阿里云優(yōu)惠券 先領(lǐng)券再下單

React團(tuán)隊(duì)于12月3日發(fā)布了有史以來(lái)最嚴(yán)重的安全漏洞公告（CVE-2025-55182），該漏洞被評(píng)為CVSS 10.0分——最高風(fēng)險(xiǎn)等級(jí)。 這一被稱為“React2shell”的漏洞，堪比一把開(kāi)啟服務(wù)器大門(mén)的“萬(wàn)能鑰匙”，攻擊者無(wú)需任何身份驗(yàn)證，僅需發(fā)送一個(gè)精心構(gòu)造的HTTP請(qǐng)求，便可直接控制企業(yè)服務(wù)器。

安全研究員Defused指出，這是一個(gè)評(píng)分10.0的嚴(yán)重漏洞，并且已有野外利用的報(bào)告。 截至目前，全球已有超過(guò)380萬(wàn)個(gè)公開(kāi)部署的React應(yīng)用面臨風(fēng)險(xiǎn)，覆蓋金融、醫(yī)療、政務(wù)等關(guān)鍵領(lǐng)域。

一、漏洞危害：“炸彈級(jí)”威脅，企業(yè)安全防線或面臨全線崩潰

1.無(wú)需認(rèn)證的遠(yuǎn)程代碼執(zhí)行

攻擊者無(wú)需登錄目標(biāo)系統(tǒng)，甚至無(wú)需知道后臺(tái)存在，僅通過(guò)前端交互即可觸發(fā)漏洞。 一旦成功利用，黑客可以在服務(wù)器上執(zhí)行任意命令，包括刪除數(shù)據(jù)庫(kù)、植入木馬、橫向滲透內(nèi)網(wǎng)等惡意操作。

2.利用難度極低

攻擊者只需構(gòu)造一個(gè)惡意HTTP請(qǐng)求，即可實(shí)現(xiàn)攻擊。目前已有公開(kāi)的利用代碼（PoC），并且觀測(cè)到大規(guī)模在野利用。 甚至有Chrome擴(kuò)展可以檢測(cè)網(wǎng)站是否易受此漏洞攻擊。

二、影響范圍：全面覆蓋現(xiàn)代React

開(kāi)發(fā)生態(tài)，企業(yè)自查刻不容緩

此次漏洞影響了React生態(tài)系統(tǒng)的核心組件，具體影響范圍如下：

React核心包

react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0.0、19.1.0、19.1.1和19.2.0版本均受影響。

Next.js框架

使用App Router的Next.js框架受影響嚴(yán)重，包括>=14.3.0-canary.77、>=15和>=16版本。 漏洞編號(hào)為CVE-2025-66478（CVSS評(píng)分同樣為10.0）。

其他框架工具

React Router、Waku、RedwoodJS、Vite、Parcel等使用了RSC實(shí)現(xiàn)的框架或插件同樣受到影響。

據(jù)云安全公司W(wǎng)iz評(píng)估，39%的云環(huán)境存在受此漏洞影響的實(shí)例。 使用React及相關(guān)框架的企業(yè)需立即排查自身系統(tǒng)是否在受影響范圍內(nèi)。

三、修復(fù)方案：官方補(bǔ)丁與云WAF雙重防護(hù)

構(gòu)建縱深防御體系

面對(duì)這一嚴(yán)峻威脅，南凌科技安全專家建議企業(yè)采取以下緊急措施：

立即升級(jí)到安全版本

React團(tuán)隊(duì)已發(fā)布修復(fù)補(bǔ)丁，受影響用戶應(yīng)立即升級(jí)到以下安全版本：

• React相關(guān)包：升級(jí)至19.0.1、19.1.2或19.2.1版本

• Next.js用戶：根據(jù)當(dāng)前使用版本線，升級(jí)到15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7或16.0.7等修復(fù)版本

部署云WAF，攔截漏洞利用企圖

盡管升級(jí)是根本解決方案，但企業(yè)全面測(cè)試和部署補(bǔ)丁需要時(shí)間。在此期間，南凌科技「云WAF」可提供即時(shí)防護(hù)。

南凌科技「云WAF」采用先進(jìn)的語(yǔ)義引擎技術(shù)，能夠精準(zhǔn)還原層層偽裝的攻擊向量，從編碼層面智能識(shí)別并攔截針對(duì)CVE-2025-55182的攻擊企圖。

產(chǎn)品支持百萬(wàn)級(jí)并發(fā)處理，99%的請(qǐng)求可在1毫秒內(nèi)快速響應(yīng)，確保業(yè)務(wù)不受影響。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！