React2Shell (CVE-2025-55182) 危机：Next.js SSR 中的反序列化漏洞导致远程代码执行

CRITICAL ALERT: React2Shell (CVE-2025–55182) 允许在 Next.js 和 React SSR 中远程执行代码

年终代码冻结前的短暂平静已被打破。一个被命名为 CVE-2025-55182、俗称 React2Shell 的严重漏洞已被披露。该漏洞影响 React 服务端渲染 (SSR) 架构中的核心序列化机制，并对 Next.js 应用程序造成特别严重的影响。

这不是一个客户端 XSS（跨站脚本）问题。这是一个远程代码执行 (RCE) 漏洞，其 CVSS v4.0 评分为 10.0（严重）。

如果你的基础设施使用了 Next.js v15.x 或早于 16.0.7 的 v16.x 版本，或者使用了依赖标准水合技术的自定义 React SSR 实现，那么你的生产环境很可能面临未经身份验证的远程命令执行风险。

内容概要

• 漏洞: CVE-2025-55182 (“React2Shell”)
• 类型: 不安全的反序列化导致 RCE
• 严重性: 严重 (CVSS 10.0)

点击或回车查看全尺寸图片

CSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL+XZalbG4W5rKqlfkYKBxiBRTtAbVDVipJZo+ydjViqDCjSID+K7RTFn0PJSVCSIv+tgwL2+I6PUZNzi60N7JH9ucnpc9fU