CVE-2025-55182漏洞是什么？React Server Components为何出现远程代码执行风险？

1.CVE-2025-55182漏洞是什么

1.漏洞别称React2Shell，CVSS 10.0满分高危漏洞，无认证远程代码执行(RCE) 。

2.漏洞位置：React19版本React Server Components(RSC)配套包：react-server-dom-webpack/parcel/turbopack，版本19.0.0~19.2.0区间 。

3.影响范围：使用RSC架构应用，重点是Next.js15、16版本App Router架构；哪怕项目未编写任何Server Action服务端接口，只要启用RSC架构依旧存在风险。

4.攻击方式：攻击者仅需构造恶意HTTP请求，利用Flight协议数据包缺陷，即可在服务器执行任意系统命令，实现服务器接管、窃取数据、植入木马挖矿等行为，外网可直接利用，无需账号密码 。

5.披露时间：2025年12月3日由React官方发布安全通告，野外已出现真实攻击利用行为。

二、React Server Components为何会出现该远程代码执行风险

1.RSC运行机制前提

RSC为React19推出的服务端组件技术，客户端与后端依靠Flight私有协议交互数据。客户端下发请求载荷，后端会对传输内容进行反序列化解析，执行对应服务端组件逻辑、Server Functions函数。

2.漏洞核心成因

1.反序列化校验逻辑缺失

React后端解析Flight协议传输的客户端载荷时，未严格校验数据类型、对象原型、调用权限；攻击者可通过篡改载荷结构，注入非法对象引用，诱导后端调用危险函数，执行任意代码。

2.信任客户端原始数据

RSC默认信任客户端传输的协议数据，缺少白名单校验、格式强校验。攻击者伪造合法格式数据包，绕过基础判断逻辑，触发原型链类缺陷完成代码注入执行。

3.RSC整体调度逻辑存在全局调用入口

RSC底层统一处理Flight协议请求，存在通用解析入口，并非限定开发者编写的业务接口。这造成漏洞攻击面宽泛，即便业务未开发服务端接口，底层解析逻辑依然可以被调用利用。

4.早期补丁存在漏洞残留

第一轮发布补丁并未完全封堵路径，19.0.2、19.1.3、19.2.2依旧存在绕过风险，需要升级至完整修复版本19.0.4、19.1.5、19.2.4及以上。

三、简短总结版（可直接用于文案）

CVE-2025-55182是React19 RSC架构下无认证远程代码执行高危漏洞。根源在于RSC采用Flight协议做前后端通信时，后端对客户端传输载荷反序列化环节校验不完善，过度信任客户端数据，攻击者构造恶意协议数据包，便可诱导服务器执行任意代码。因RSC底层存在统一请求解析入口，致使大量Next.js等RSC项目大面积受影响。