检测 React/Next.js 高危反序列化漏洞 CVE-2025–66478/CVE-2025–55182 的实战指南

两天前，一个影响 React 服务器组件“Flight”协议版本 19.0.0、19.1.0、19.1.1 和 19.2.0 的关键不安全反序列化漏洞被公开，该协议被 React.js（CVE-2025–55182）和 Next.js（CVE-2025–66478）使用。对于 Next.js，受影响的版本包括：Next.js 14.3.0-canary、15.x 和 16.x（App Router）。已修复的版本为 14.3.0-canary.88、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7。此漏洞允许未经身份验证的远程代码执行。

在这篇简短的博客中，我使用 Next.js 创建的非漏洞应用和漏洞应用建立了一个 Docker 化的实验环境。我使用了 Assetnote 的脚本和 Burp 的 ActiveScan++来检测应用是否存在漏洞。

脚本检测到该应用不存在漏洞。

下面的应用运行的是 Next.js 16.0.0，属于受影响版本。

ActiveScan++ (v2.0.8) 同样具备此漏洞的检测能力。

另一个可用于演示的实验环境来自 Hackinghub。

启动实验环境。

Wappalyzer 检测到该应用使用了存在漏洞的 Next.js 16.0.6 版本。

使用 react2shell 脚本扫描 Hackinghub 目标。最近，此漏洞的检测已被加入 Burp Pro 扫描器的主程序，而不仅仅是 Active Scan ++扩展中。

Burp 扫描了 Hackinghub 目标并标记了该漏洞。

我们也可以使用 Nuclei 扫描目标应用。

漏洞利用尝试：

上面是一个有效载荷/Burp 请求的副本，来自这个 GitHub 仓库。

参考资料：

• https://github.com/assetnote/react2shell-scanner

• https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

• https://nvd.nist.gov/vuln/detail/CVE-2025-55182

• https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/

• https://app.hackinghub.io/hubs/cve-2025-55182

• https://github.com/l4rm4nd/CVE-2025-55182

免责声明：本博客提供的信息仅用于一般性参考。虽然我总是力求准确，但某些细节可能不准确，提供的列表也可能不完整。尽管如此，我强烈建议在做出任何决定或采取行动之前，根据行业标准文档和官方来源（部分列于上述参考资料部分）核实任何关键信息。此处表达的所有观点均为我个人观点，并不代表我雇主的观点或立场。CSD0tFqvECLokhw9aBeRqtTv15RNmaHdiNZPviuVo91qSznOHH5tFALIOiISSclTt0ZgWoJjRK8zWTPl0501L/A9ABEqIKFrxnjd8J8aI/s=更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享