React2Shell危机：CVSS 10.0级反序列化漏洞威胁Next.js SSR生产环境

<｜User｜>仅限会员阅读文章

严重警报：React2Shell (CVE-2025–55182) 漏洞致使 Next.js 和 React SSR 面临远程代码执行风险

作者：Ashish Sharda

阅读时长：4分钟 · 2025年12月17日

2

Listen

分享

针对影响服务端水合（Hydration）的 CVSS 10.0 漏洞的技术分析，以及供工程团队参考的即时缓解策略。

点击查看全尺寸图片

React 安全警报：CVE-2025–55182 (React2Shell) 通过组件树分裂（Component Tree Fracture）使 Next.js 应用暴露于远程代码执行风险之下。

年终代码冻结前的短暂平静期已被打破。一个编号为 CVE-2025–55182、被业内俗称为 React2Shell 的严重漏洞已被披露。该漏洞影响了 React 服务端渲染（SSR）架构中的核心序列化机制，并对 Next.js 应用产生了特定的、加剧的影响。

这并非 客户端跨站脚本（XSS）问题，而是一个 远程代码执行（RCE） 漏洞，其 CVSS v4.0 评分高达 10.0（严重）。

如果你使用的基础设施是 Next.js v15.x 或任何低于 16.0.7 的 v16.x 版本，或是采用了标准水合（Hydration）技术的自定义 React SSR 实现，那么你的生产环境很可能暴露于未经身份验证的远程命令执行风险之下。

执行摘要

• 漏洞编号： CVE-2025–55182 (“React2Shell”)
• 漏洞类型： 不安全的反序列化导致 RCE
• 严重等级： 严重 (CVSS…FINISHED CSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL+XZalbG4W5rKqlfkYKBxiBRTtAbVDVipJZo+ydjViqDCjSID+K7RTFn0PJSVCSIv+tgwL2+I6PUZNzi60N7JH9ucnpc9fU