CDNetworks WAF 主动防御严重 React 漏洞 CVE-2025-55182

执行摘要

在 2025 年 12 月 3 日（EST），React Server Components（RSC）中发现了一个关键安全漏洞（CVE-2025-55182、CVE-2025-66478），该漏洞被称为 React2Shell，CVSS 评分为 10.0（最高严重等级）。

为应对此漏洞，CDNetworks 立即在我们的 Web应用防火墙（WAF）上部署了新的保护规则（规则编号9625：React_Server_Components_rce）以防御此漏洞。

如果您使用React服务器组件，强烈建议立即采取以下措施：

1. 根据官方 React 博客的说明，升级到安全版本的 React。
2. 如果短期内无法升级，请实现 Web应用防火墙（WAF），通过已知攻击签名阻止利用尝试。

漏洞概述

漏洞根源在于 Flight 协议反序列化逻辑的安全缺陷。服务端在处理客户端发送的序列化数据时，未能对数据的结构和内容进行充分有效的验证。攻击者可以精心构造一个包含恶意指令的请求载荷，当服务器试图解析这个载荷时，会错误地执行其中的指令，从而突破限制，实现远程代码执行。

此漏洞利用条件极为简单。任何能够向目标应用发送HTTP请求的攻击者均可尝试利用。攻击无需身份认证，也无需与用户交互。最重要的是，使用了RSC功能的应用在默认配置下就是可被攻击的，这极大地扩大了攻击面。

受影响的React Server Components版本包括：

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack（版本19.0.0至19.2.0）

谁受影响？

React是全球最广泛使用的前端开发框架之一，此漏洞影响了多种环境，包括：

• Next.js 版本 15.x 和 16.x，使用应用路由（App Router）
• Next.js 版本 14.3.0-canary.77 及更高版本
• 集成 RSC 功能的其他框架，例如Waku、RedwoodJS 和 Vite RSC Plugin

注意：仅使用客户端渲染或使用 Next.js 的页面路由（Pages Router）的应用程序不受影响。

为什么这如此危险

由于React服务器组件的默认配置，许多应用程序在没有攻击者额外设置的情况下就容易受到攻击。因此，这个问题大大增加了攻击面。

由于概念验证（PoC）代码已经公开，暴露窗口正在迅速扩大，使用 RSC 的组织必须立即采取行动保护其系统。

尽管我们的 WAF 已经发布了虚拟补丁以减轻此漏洞，但我们仍强烈建议客户尽快更新到最新版本的 React，尤其是对于任何公开可访问的应用程序。

如需进一步指导或帮助，请联系我们的支持团队。

CDNetworks智能团队将继续监控这一情况，并在必要时提供更新。请通过社交媒体关注我们，获取最新的新闻和更新。