腾讯云公告 > 公告详情
扫码查看公告
【EdgeOne】关于针对 React2Shell 远程代码执行漏洞的防护公告
概述
2025 年 12 月 3 日,前端框架 React 披露了严重安全漏洞 CVE-2025-55182(又名 React2Shell 漏洞, CVE-2025-66478 为相同漏洞),影响其服务端组件 (React Server Components) 功能。该漏洞的成因在于服务器对来自客户端的请求数据缺乏充分校验,导致不安全的反序列化问题。攻击者无需任何身份验证,只需向受影响的服务器发送特制的恶意 HTTP 请求,即可触发服务器在处理请求时执行任意恶意代码。当网站使用了易受影响的 React 版本(19.0.0,19.1.0 和 19.2.0)或相关框架(例如 Next.js 15/16 等),那么攻击者可能利用此漏洞远程控制服务器,从而造成数据泄露、服务被植入恶意程序甚至中断等严重风险。
漏洞 CVE-2025-55182 的危害范围广,CVSS 评分为10.0(满分),属于最高等级的安全漏洞,可导致 Web 应用服务器完全被攻陷。
漏洞风险详情
攻击者在利用 CVE-2025-55182 漏洞获取初始访问权限后,可以通过 wget 和 curl 命令下载并执行恶意脚本及持久化 Linux 木马,建立反弹 Shell 连接远程控制服务器,并在部分案例中以“无文件”方式执行恶意脚本,进一步下发并安装 SNOWLIGHT、VShell 等木马程序,实现对受害主机的长期控制和后续渗透活动。
漏洞影响范围
CVE-2025-55182 影响 React 19 框架和基于其开发的相关前端组件。包括以下版本:
● React: 19.0, 19.1 和 19.2 版本
● Next.js:15.x 和 16.x(App Router)版本,包括 14.3.0 及以上版本的 Canary 构建版本。
● 其他相关架构:基于 React 服务构建的架构,包括 React Router、Waku、RedwoodSDK、Parcel 和 Vite RSC 插件等。
针对 CVE-2025-55182 和 CVE-2025-66478 的防护
针对本次 React Server Components RCE 漏洞,EdgeOne 已于 2025 年 12 月 4 日发布对应的漏洞防护规则,加入到了 托管规则-规则组 中。该规则归属“开源组件漏洞”类别,能够检测并拦截利用 CVE-2025-55182 的恶意请求,从而防止攻击流量到达客户源站。
对于已开启“开源组件漏洞”自动防护的用户,新规则已在发布后自动下发并生效,EdgeOne 托管规则 将自动在边缘拦截此类攻击,无需用户手动干预。同时,EdgeOne 的安全团队将持续跟踪该漏洞相关威胁情报,适时优化更新防护策略,确保防护的有效性和准确度。
⚠️
注意
:
对于开启了“评估模式”或将“开源组件漏洞”配置为“手动防护”的站点,CVE-2025-55182 的防护规则将自动设置为“观察”模式,仅记录日志,不会拦截攻击请求,请参考本文的防护建议进行配置,及时启用防护。
使用 EdgeOne 托管规则进行防护
为保护您的 Web 服务,EdgeOne 对全部用户提供了针对 CVE-2025-55182 的防护策略。您可以参考下列配置方式来识别并拦截攻击流量。
● 关闭托管规则的“评估模式”。
● 确保“开源组件漏洞”规则组已开启自动防护(标准版和企业版支持此功能)。
● 若未启用自动更新,可开启手动防护并将规则 4401216445 和 4401216452 设置为“拦截”。
● 对于免费版和个人版套餐的用户,请将免费漏洞防护规则集设置为“拦截”,或将规则 4401216445 和 4401216452 设置为“拦截”。
说明:
如您的服务受到漏洞影响,建议您尽快升级框架至以下安全版本,以规避 CVE-2025-55182 漏洞的长期隐患: 请将 React 升级至 19.0.1、19.1.2 或 19.2.1 及以上版本;或将 Next.js 更新至包含该修复的稳定版本(16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 或 15.0.5)。
2025-12-17