請速查！React炸彈級漏洞或致企業(yè)服務(wù)器完全淪陷，南凌科技云WAF筑起堅實防線

React團隊于12月3日發(fā)布了有史以來最嚴重的安全漏洞公告（CVE-2025-55182），該漏洞被評為CVSS 10.0分——最高風險等級。 這一被稱為“React2shell”的漏洞，堪比一把開啟服務(wù)器大門的“萬能鑰匙”，攻擊者無需任何身份驗證，僅需發(fā)送一個精心構(gòu)造的HTTP請求，便可直接控制企業(yè)服務(wù)器。

安全研究員Defused指出，這是一個評分10.0的嚴重漏洞，并且已有野外利用的報告。 截至目前，全球已有超過380萬個公開部署的React應(yīng)用面臨風險，覆蓋金融、醫(yī)療、政務(wù)等關(guān)鍵領(lǐng)域。

一、漏洞危害：“炸彈級”威脅，企業(yè)安全防線或面臨全線崩潰

1.無需認證的遠程代碼執(zhí)行

攻擊者無需登錄目標系統(tǒng)，甚至無需知道后臺存在，僅通過前端交互即可觸發(fā)漏洞。 一旦成功利用，黑客可以在服務(wù)器上執(zhí)行任意命令，包括刪除數(shù)據(jù)庫、植入木馬、橫向滲透內(nèi)網(wǎng)等惡意操作。

2.利用難度極低

攻擊者只需構(gòu)造一個惡意HTTP請求，即可實現(xiàn)攻擊。目前已有公開的利用代碼（PoC），并且觀測到大規(guī)模在野利用。 甚至有Chrome擴展可以檢測網(wǎng)站是否易受此漏洞攻擊。

二、影響范圍：全面覆蓋現(xiàn)代React

開發(fā)生態(tài)，企業(yè)自查刻不容緩

此次漏洞影響了React生態(tài)系統(tǒng)的核心組件，具體影響范圍如下：

React核心包

react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0.0、19.1.0、19.1.1和19.2.0版本均受影響。

Next.js框架

使用App Router的Next.js框架受影響嚴重，包括>=14.3.0-canary.77、>=15和>=16版本。 漏洞編號為CVE-2025-66478（CVSS評分同樣為10.0）。

其他框架工具

React Router、Waku、RedwoodJS、Vite、Parcel等使用了RSC實現(xiàn)的框架或插件同樣受到影響。

據(jù)云安全公司W(wǎng)iz評估，39%的云環(huán)境存在受此漏洞影響的實例。 使用React及相關(guān)框架的企業(yè)需立即排查自身系統(tǒng)是否在受影響范圍內(nèi)。

三、修復方案：官方補丁與云WAF雙重防護

構(gòu)建縱深防御體系

面對這一嚴峻威脅，南凌科技安全專家建議企業(yè)采取以下緊急措施：

立即升級到安全版本

React團隊已發(fā)布修復補丁，受影響用戶應(yīng)立即升級到以下安全版本：

• React相關(guān)包：升級至19.0.1、19.1.2或19.2.1版本

• Next.js用戶：根據(jù)當前使用版本線，升級到15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7或16.0.7等修復版本

部署云WAF，攔截漏洞利用企圖

盡管升級是根本解決方案，但企業(yè)全面測試和部署補丁需要時間。在此期間，南凌科技「云WAF」可提供即時防護。

南凌科技「云WAF」采用先進的語義引擎技術(shù)，能夠精準還原層層偽裝的攻擊向量，從編碼層面智能識別并攔截針對CVE-2025-55182的攻擊企圖。

產(chǎn)品支持百萬級并發(fā)處理，99%的請求可在1毫秒內(nèi)快速響應(yīng)，確保業(yè)務(wù)不受影響。