请速查！React炸弹级漏洞或致企业服务器完全沦陷，南凌科技云WAF筑起坚实防线

React团队于12月3日发布了有史以来最严重的安全漏洞公告（CVE-2025-55182），该漏洞被评为CVSS 10.0分——最高风险等级。 这一被称为“React2shell”的漏洞，堪比一把开启服务器大门的“万能钥匙”，攻击者无需任何身份验证，仅需发送一个精心构造的HTTP请求，便可直接控制企业服务器。

安全研究员Defused指出，这是一个评分10.0的严重漏洞，并且已有野外利用的报告。 截至目前，全球已有超过380万个公开部署的React应用面临风险，覆盖金融、医疗、政务等关键领域。

一、漏洞危害：“炸弹级”威胁，企业安全防线或面临全线崩溃

1.无需认证的远程代码执行

攻击者无需登录目标系统，甚至无需知道后台存在，仅通过前端交互即可触发漏洞。 一旦成功利用，黑客可以在服务器上执行任意命令，包括删除数据库、植入木马、横向渗透内网等恶意操作。

2.利用难度极低

攻击者只需构造一个恶意HTTP请求，即可实现攻击。目前已有公开的利用代码（PoC），并且观测到大规模在野利用。 甚至有Chrome扩展可以检测网站是否易受此漏洞攻击。

二、影响范围：全面覆盖现代React

开发生态，企业自查刻不容缓

此次漏洞影响了React生态系统的核心组件，具体影响范围如下：

React核心包

react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0.0、19.1.0、19.1.1和19.2.0版本均受影响。

Next.js框架

使用App Router的Next.js框架受影响严重，包括>=14.3.0-canary.77、>=15和>=16版本。 漏洞编号为CVE-2025-66478（CVSS评分同样为10.0）。

其他框架工具

React Router、Waku、RedwoodJS、Vite、Parcel等使用了RSC实现的框架或插件同样受到影响。

据云安全公司Wiz评估，39%的云环境存在受此漏洞影响的实例。 使用React及相关框架的企业需立即排查自身系统是否在受影响范围内。

三、修复方案：官方补丁与云WAF双重防护

构建纵深防御体系

面对这一严峻威胁，南凌科技安全专家建议企业采取以下紧急措施：

立即升级到安全版本

React团队已发布修复补丁，受影响用户应立即升级到以下安全版本：

• React相关包：升级至19.0.1、19.1.2或19.2.1版本

• Next.js用户：根据当前使用版本线，升级到15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7或16.0.7等修复版本

部署云WAF，拦截漏洞利用企图

尽管升级是根本解决方案，但企业全面测试和部署补丁需要时间。在此期间，南凌科技「云WAF」可提供即时防护。

南凌科技「云WAF」采用先进的语义引擎技术，能够精准还原层层伪装的攻击向量，从编码层面智能识别并拦截针对CVE-2025-55182的攻击企图。

产品支持百万级并发处理，99%的请求可在1毫秒内快速响应，确保业务不受影响。