:解析引发Web危机的反序列化漏洞 ⚡)
⏩ 太长;别看
React2Shell (CVE-2025–55182) 是一个影响 React 19.x 中 React 服务器组件 (RSC) 及 Next.js 等框架的严重远程代码执行 (RCE) 漏洞。该缺陷源于对“Flight”协议块进行的不安全反序列化,允许攻击者注入恶意结构,这些结构最终会解析为 Function 构造函数,从而导致服务器上的任意 JavaScript 代码执行。
- 在默认配置下即可生效
- 无需身份验证
- 利用标准的
multipart/form-data请求 - 导致服务器被完全控制
- 已存在公开的 PoC(致谢见下文)
- 缓解措施:更新至 React 19.2.1+ / Next.js 已修复版本
免费文章链接
我的 GitHub 仓库和源代码链接
按回车键或点击以查看完整尺寸的图片
👋 简介
CSD0tFqvECLokhw9aBeRql82vEc40jJXXhARFJtLD/cVJ2hZTOr6GMyi1mzi+fFh6emkURy+wEGtG6Q3NLPu4i/q4cLt8FrhQZQ28Lf8yCAB5p7TNXlu/JJYWok1Ud6QuMDJsa/n9SQI0CId9iw4PHGnvMMPZOOz6v6GOojBqUec4tgn5LWfAfOiAI6DiwNX
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)
