在很长一段时间里,安全圈有一个心照不宣的认知:前端框架的安全问题,撑死也就是 XSS。只要 Cookie 保护好,跨域策略配得对,前端代码再怎么折腾,也很难直接威胁到服务器的心脏。
但随着 Next.js、Remix 等元框架的兴起,以及 React Server Components (RSC) 的全面铺开,这个防守逻辑正在失效。为了追求极致的渲染性能,原本运行在浏览器里的 JavaScript 逻辑被大规模迁移到了服务端。
当浏览器里的代码开始在 Server 端跑,潘多拉的魔盒就打开了。
2025 年 12 月 3 日,CVE-2025-55182 的披露,给所有全栈开发团队敲响了警钟。这不仅仅是一个漏洞,它是 Web 架构演进过程中必经的一次阵痛——React 服务端组件远程代码执行(RCE)漏洞。
为什么说它是“核弹级”?
这就得聊聊 React 19 引入的“Flight”协议。
简单来说,为了让服务端组件和客户端组件无缝通信,React 发明了一套复杂的序列化机制。服务端会将组件树、数据、甚至是某些闭包状态序列化,发给客户端复活。
问题就出在这里。CVE-2025-55182 暴露了 React 在处理 Server Actions 时的一个致命疏忽,反序列化逻辑缺乏足够的类型校验。
攻击者不需要拿下管理员权限,甚至不需要登录。他们只需要向服务器发送一段精心构造的、符合 RSC 协议格式的二进制流。在这段看似正常的数据流中,隐藏着一条恶意的原型链。
一旦服务端的 Node.js 进程尝试解析这段数据,恶意的 JavaScript 对象就会被实例化并在内存中执行。
这不是弹窗,是直接拿 Shell。
一旦利用成功,攻击者拿到的不仅是代码执行权限,更是通往内网的钥匙。众所周知,Next.js 服务器通常持有数据库连接串、第三方 API 密钥等核心机密。攻破这一层,意味着企业核心数据资产的大门已彻底敞开。
防御的真空期
漏洞披露后的这 24 到 72 小时,是攻击者最活跃的窗口期,也是企业最焦虑的时刻。
运维和安全团队面临着三个非常棘手的现实问题:
能拦得住吗?现有的 WAF 规则大多基于传统的 HTTP 参数或 SQL 注入特征,对于这种封装在 Flight 协议里的序列化 Payload,大部分 WAF 是看不懂的,极易被绕过。
受影响了吗?现代前端工程依赖树极其复杂,你可能很难第一时间确定业务线中哪个版本的 Next.js 引入了受影响的
react-server-dom-webpack。敢升级吗?升级基础框架版本通常意味着巨大的回归测试成本,直接打补丁在很多生产环境中不具备即时可操作性。
在这个真空期,猜测是最大的风险。你需要确切的验证。
塞讯安全实验室:不仅仅是复现
在漏洞情报公开的第一时间,塞讯安全实验室并非只是简单地记录 CVE 编号,而是立即启动了针对 React Flight 协议的逆向分析。
我们成功复现了漏洞利用的全过程,提取了多种变体 Payload,将经过检验的针对该漏洞的利用手法第一时间提供给我们的VIP用户,并及时按每周更新机制更新至塞讯智能安全验证平台的攻击库中。
这不仅仅是一个静态的规则更新。
基于塞讯的AEV(对抗式暴露验证)技术,我们为企业提供了一种攻击者视角的验证手段。这与传统的漏扫完全不同——我们不是在扫描版本号,而是在模拟真实的黑客行为。
用户现在就可以在塞讯验证平台中运行针对 CVE-2025-55182 的专项验证:
无害化模拟:我们会在您的环境中通过源验证节点发送带有真实攻击特征的流量到目标验证节点,无需靶机,也无需要直接向业务应用发送攻击荷载。即可验证您的外围防御手段是否可以检测并阻断此攻击,确认您在安全产品上启用的虚拟补丁是否有效。这确保了在生产环境验证的安全性,不会导致真实服务宕机或其他影响。
全链路检验:通过攻击路径设计(从外到内、从内到内 等)流量可以经由您的防火墙、WAF、IPS,RASP 到达到 React 服务器所以区域的验证节点。
真相直击:
如果 WAF 没报警,说明由于协议混淆,您的边界防御失效了。
如果您确实拥有1:1的测试服务器,如果针对此测试服务器发送攻击载荷,如果测试服务器响应了特定的回显,说明您的业务代码确实存在 RCE 的风险。
安全防御不应该是一场赌博,先用真枪实弹的攻击检验一遍防线,是目前成本最低、效果最确定的评估手段。
目前,与 CVE-2025-55182 相关验证规则已在塞讯智能安全验证平台上线。
建议所有使用 React Server Components / Next.js 的企业用户立即进行自查,在黑客正式叩门之前,先让自己人试一试门锁,这不仅是验证,更是提前布防。与其在焦虑中等待补丁,不如现在就行动,看清自己的底牌。
