【CVE-2025-55182】React Server Components 远程命令执行漏洞

1249359

一、漏洞信息

CVE-2025-55182 是 React Server Components (RSC) 架构中一个关键的预认证远程代码执行 (Pre-Auth RCE) 漏洞,影响了包括 react-server-dom-webpack 在内的多个 RSC 相关包的 19.x 版本。该漏洞的根本原因在于 RSC 暴露的 Server Function endpoints 在处理传入的 HTTP 请求负载时,进行了不安全的非序列化 (Insecure Deserialization)。攻击者无需任何权限,即可利用这一缺陷,通过构造恶意的请求体,在运行 RSC 服务的服务器上执行任意系统命令,从而完全控制目标应用程序及其底层系统。

二、应用指纹

app="Next.js" && body="/_next/static/chunks/app/"

三、利用细节

发包选择一个有效的路径,然后修改execSync(‘id’)中的命令,在响应包中查看响应头:x-action-redirect: /login?a=<base64>中的base64数据,进行解码即可获取命令执行回显。

  此处内容已隐藏,请评论后刷新页面查看.
图片[1] - 【CVE-2025-55182】React Server Components 远程命令执行漏洞 - 极核GetShell

四、POC文件

THE END
漏洞信息
想说的话 1  QQ & 微信交流群: 点击查看加群方式
2  本站运营不易,以真心❤️换真心💕,如果帮助到你,可以 推荐给朋友 或者 开通金贝会员 支持一下本站!
3  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞59 分享
相关推荐
【CVE-2025-55182】React Server Components 远程命令执行漏洞 - 极核GetShell
【CVE-2025-55182】React Server Components 远程命令执行漏洞
【CVE-2025-55182】React Server Components 远程命令执行漏洞
1个月前 493
【帆软报表】帆软报表FineReport export/excel接口存在SQL注入漏洞 - 极核GetShell
【帆软报表】帆软报表FineReport export/excel接口存在SQL注入漏洞
【帆软报表】帆软报表FineReport export/excel接口存在SQL注入漏洞
14天前 531
【CVE-2025-30208】Vite开发服务器任意文件读取漏洞 - 极核GetShell
【CVE-2025-30208】Vite开发服务器任意文件读取漏洞
【CVE-2025-30208】Vite开发服务器任意文件读取漏洞
10个月前 2495
【哪吒探针】默认弱口令漏洞 - 极核GetShell
【哪吒探针】默认弱口令漏洞
【哪吒探针】默认弱口令漏洞
2个月前 568
【CVE-2024-4577】PHP CGI 远程代码执行漏洞 - 极核GetShell
【CVE-2024-4577】PHP CGI 远程代码执行漏洞
【CVE-2024-4577】PHP CGI 远程代码执行漏洞
2年前 2140
【朵米客服平台】任意文件上传漏洞 - 极核GetShell
【朵米客服平台】任意文件上传漏洞
【朵米客服平台】任意文件上传漏洞
2年前 2560
【Apache ActiveMQ】 远程代码执行漏洞 - 极核GetShell
【Apache ActiveMQ】 远程代码执行漏洞
【Apache ActiveMQ】 远程代码执行漏洞
3年前 1116
茶谈区 共12条

请登录后发表评论

    只看作者
【证书培训】网络安全认证课程超低价 - 极核GetShell
极核GetShell - 打破网络安全资源分享边界