【安全资讯】CVE-2025-55182 React2Shell漏洞遭大规模利用，多起恶意活动曝光

概要：

近期，一个影响React Server Components（RSC）的严重零日漏洞CVE-2025-55182（又称React2Shell）正被多个恶意活动大规模利用。该漏洞允许攻击者在无需身份验证的情况下，在服务器上远程执行任意代码，对使用React.js、Next.js等框架的现代Web应用构成严重威胁。自公开披露以来，已观察到包括僵尸网络、勒索软件部署和数据窃取在内的多种攻击活动。

主要内容：

CVE-2025-55182是一个CVSS评分为10.0的严重漏洞，存在于React的Flight协议反序列化过程中。其核心问题在于`ReactFlightReplyServer.js`中的`reviveModel`函数错误地调用了不受信任对象自身的`hasOwnProperty`方法。攻击者可以通过恶意构造的序列化数据，在服务器解析请求时劫持此方法调用，从而绕过安全检查，访问JavaScript原型链上的敏感属性（如`constructor`），最终实现远程代码执行。

攻击链通常分为四个阶段：首先，利用`$@`前缀创建块之间的自引用循环，以访问JavaScript内部对象；其次，通过设置`then`属性欺骗JavaScript引擎自动调用攻击者代码；接着，将恶意数据注入初始化过程；最后，利用`$B`前缀触发Blob处理程序，将引用查找转换为实际的代码执行。整个过程可在一次HTTP请求中完成。

Trend Micro研究团队已观测到近145个在野的概念验证利用，并识别出多个恶意活动。例如，“emerald”和“nuts”活动主要针对云基础设施进行大规模扫描，并下载执行自定义僵尸程序或Mirai变种。此外，攻击者还利用该漏洞部署Cobalt Strike信标、Nezha监控工具、FRP反向代理、Sliver C2框架以及名为“Secret-Hunter”的自动化数据窃取载荷，后者会安装TruffleHog和Gitleaks等工具来扫描服务器中的敏感信息。

官方修复方案已发布，核心是使用`Object.prototype.hasOwnProperty.call()`的固定引用来替代直接的对象方法调用。受影响组织应立即升级Next.js（>= 15.1.3, >= 14.2.22, >= 13.5.8）和React（>= 19.0.0, >= 18.3.1, >= 18.2.0）至安全版本，并部署基于流量特征（如`$@`引用、`resolved_model`字符串）的检测规则，同时警惕大量扫描活动。