最高严重级前端工具库漏洞波及约 5000 万网站 披露数小时内即被中共迅速武器化
【路德社·报道 ET 2025年12月6日】
12月3日, 前端 JavaScript 的工具库 React ,其团队公开披露了一个影响 React 的服务器组件的严重安全漏洞,编号为 CVE-2025-55182,俗称“React2Shell(React to shell)”,它在通用漏洞评分系统中被评为 10 分,属于最高严重等级。该漏洞允许远程、未认证攻击者通过构造恶意请求在服务器上执行任意代码,被多家安全机构形容为“最大级别”的风险。
安全报告指出,React 服务器组件曾长期由 Meta 维护,目前已经嵌入大约 5000 万个网站和各类产品之中,由众多大型公司在生产环境中使用。一旦出现可远程执行代码的漏洞,潜在影响面遍布全球互联网。
亚马逊网络服务公司(AWS)在自家蜜罐基础设施中发现(蜜罐是专门用来“引诱黑客上钩”的假目标),在该漏洞于12月3日公开后的数小时内,多个与中共国国家有关联的网络威胁组织已经开始针对 CVE-2025-55182 发起主动利用尝试,包括 Earth Lamia 和 Jackpot Panda 等团伙。这些攻击来自与上述组织历史活动相关的 IP 地址和基础设施,显示出高度组织化的扫描与利用行动。
一、漏洞如何运作:从“重体力活”到“万能钥匙”
React 作为一个前端框架,被广泛用于更快地渲染 JavaScript 和网页内容,并减少服务器与终端设备的资源消耗。有安全机构估计,大约 6% 的网站使用了 React,多数用户在刷新页面时其实每天都在与其交互。React 的设计允许服务器仅重新渲染页面中发生变化的部分,从而加快加载速度并降低资源占用。
一家主营防火墙、云安全技术的全球网络安全公司 派拓网络,其旗下品牌 Unit 42 的威胁情报研究高级经理贾斯廷·摩尔解释称,React 服务器组件负责网站和控制面板中最“重”的工作以及“保守秘密”的部分。他说:“你每天都在看到它们的运行结果。比如,它会构建商品页面或新闻稿件的主体内容,让你的手机不用那么费劲,或者与数据库交互以获取你的私人账单信息,从而让你的密码和密钥永远不会离开安全的服务器。”
摩尔指出,这一漏洞之所以被视为严重威胁,是因为它实际上构成了一种“万能钥匙式的利用工具”,并非通过让系统崩溃来得手,而是“通过滥用系统对传入数据结构的信任来实现攻击”。在他的描述中,“系统会像执行合法代码一样可靠地执行恶意载荷,因为它在逻辑上完全是按照预期方式运作,只不过处理的是恶意输入”。
根据漏洞技术细节说明,CVE-2025-55182 属于不安全反序列化问题,影响 React 19.0.0~19.2.0 中的多个服务器组件相关包,以及依赖这些包的框架。在某些默认配置下,即便应用没有显式实现服务器函数端点,只要支持 React 服务器组件,也可能暴露于远程代码执行风险之下。
二、中共国关联团伙“抢先上手”公共利用代码
AWS 在安全博客中写道,亚马逊威胁情报团队通过自己的全球蜜罐基础设施监测到,与已知中共国国家关联威胁行为者相关的 IP 地址和基础设施,正在尝试利用 CVE-2025-55182。报告点名了两个团伙。
其一是 Earth Lamia /ˈleɪmiə/。AWS 将其描述为“一个与中国有关联的网络威胁行为者,擅长利用 Web 应用漏洞,攻击目标遍及拉丁美洲、中东和东南亚”,目标行业包括金融服务、物流、零售、信息技术公司、大学以及政府机构等。
其二是 Jackpot Panda。该团伙被形容为“一个与中国有关联的网络威胁行为者,主要针对东亚和东南亚的实体,其活动很可能与涉及国内安全与腐败问题的情报收集优先级相匹配”。
AWS 指出,在中国各威胁组织之间,大规模共享匿名化基础设施已经成为网络行动的一个显著特征,这些基础设施被同时用于侦察、利用以及指挥与控制活动。这种“共享匿名化基础设施”使得将具体攻击活动精确归因到单一行为者变得困难,但从自治系统编号(ASN)和 IP 指向看,大部分未归因活动仍与中国相关基础设施高度重合。
AWS 安全负责人 CJ·莫西斯表示,团队在监测中看到威胁行为者既使用自动化扫描工具,也使用各类概念验证(PoC)利用代码。有的自动化工具具备规避检测的能力,例如通过随机化 User-Agent(浏览器或脚本/应用,在访问网站时,向服务器自报身份的一段字符串) 来躲避简单过滤。同时,这些团伙并未只盯着一个漏洞,而是“同时利用其它近期 N 日漏洞,例如 CVE-2025-1338”,呈现出一种“系统化”的作战方式,即监控新的漏洞披露,快速将公共利用代码集成进自身扫描基础设施,并在多个 CVE(漏洞编号与条目) 上同时开展广泛攻击,以最大化发现脆弱目标的机会。
三、PoC 数量暴涨 “噪音”掩护真实攻击
值得注意的是,AWS 在分析中指出,一个显著现象是“很多威胁行为者正在尝试使用那些在真实场景中根本无法成功利用的公开 PoC”。PoC 是用来证明漏洞可被利用的“概念验证攻击代码”。GitHub 安全社群已经指出,现有多个 PoC 对漏洞本身存在根本性误解,例如有的示例应用在服务器清单中显式注册危险模块,而在真实应用中“这是绝不应该出现的做法”。还有一些代码库的实现,即便升级到安全版本仍会继续保持脆弱状态。
莫西斯在博文中写道:“尽管很多公开的 PoC 在技术上并不完善,但威胁行为者仍在尝试使用它们。这种行为表明,威胁行为者不仅仅是在运行自动化扫描,而是在针对在线目标主动调试并不断改进其利用技术。”他指出,这背后反映出几个模式——“速度优先于准确性”“基于‘量’的广泛扫描”“公共利用代码降低技术门槛”,以及失败的利用尝试在日志中制造大量噪音,可能掩护真正精心构造的攻击链条。
AWS 给出的一个典型案例显示,一个与 IP 地址 183[.]6.80.214 相关的未归因威胁集群,在2025年12月4日协调世界时凌晨 2:30:17 至 3:22:48 之间,几乎用掉了整整 1 个小时在系统地排查利用问题。在 52 分钟内,该集群发出了 116 个请求,尝试多种不同的利用载荷,试图执行 Linux 命令如“whoami”和“id”,尝试向“/tmp/pwned.txt”写入文件,并试图读取“/etc/passwd”文件。AWS 将这视为攻击者在“在线调试”利用链条的直接证据。
四、云厂商紧急加固 但“打补丁”是唯一根本解法
亚马逊在博客中强调,已经启动多层防御,尽量帮用户降低这次漏洞带来的风险。比如,启用名为 Sonaris 的主动防御系统,自动发现并拦截针对该漏洞的大规模扫描;更新 AWS WAF(网站应用防火墙)的默认托管规则集 AWSManagedRulesKnownBadInputsRuleSet(1.24 版及以上),把 CVE-2025-55182 纳入拦截范围;同时依托自家的全球蜜罐系统,提前发现攻击行为并进行分析。
不过,亚马逊也一再提醒,这些云厂商一侧做的防护“不能替代打补丁”。对只使用 AWS 托管服务的客户来说,官方说明这次漏洞并不影响相关服务,用户本身不用额外操作;但如果是在自有服务器环境(比如 Amazon EC2、各类容器等)里跑 React 或 Next.js 的企业,就“必须立即更新存在漏洞的应用”,最好再临时加上一道 WAF 规则,并且认真检查应用和网站服务器的日志,看有没有可疑活动,例如带有“next-action”或“rsc-action-id”等异常字段的请求,或者服务器上出现了异常进程、异常文件写入等迹象。
React 团队和负责 Next.js 的 Vercel 已经发布了修复版本。React 在 19.0.1~19.2.1 等新版中修复了受影响的服务器组件包;Next.js 则在 15.0.5~16.0.7 以及后续 Canary 版本中加入了补丁。多家安全机构的建议是,凡是使用 React 服务器组件或相关框架的单位,都应该优先升级到这些修复版本,以阻止远程代码执行攻击。
多家安全公司和高校的信息安全部门在最新通告中发出类似预警:随着公共 PoC(概念验证攻击代码)的持续扩散,“在未来几天与几周内,CVE-2025-55182 很可能会被‘充分利用’”。他们提醒各机构的事件响应团队提前做好准备,重点排查日志和告警中与这一漏洞相关的可疑迹象。
五、更深一层的警告:前后端边界正在消失
除了应急打补丁,不少安全专家认为,这次事件还暴露出现代 Web 架构中的一个结构性问题——前端与后端之间的边界正在消失。证书与身份管理公司 Sectigo 的杰森·索罗科指出,开发者当初采用 React,是为了让界面感觉更快、服务器成本更低,但在 React 服务器组件与类似机制不断引入的同时,“工程师实际上把一个熟悉的库,变成了一台直接‘坐在’网络边缘的引擎”。
索罗科警告称,如今各团队不得不在复杂的云环境中“地毯式搜寻”,查找那些可能被埋在微服务、无服务器函数或厂商设备中的 React 服务器功能;而与此同时,“攻击者只需要在大量被扫描出存在漏洞的环境中,找到某一个被遗忘的实例,就足以发起攻击”。
他强调,对工程管理层来说,“真正的教训在于:任何新的‘魔法传输机制’,只要允许服务器代表用户调用代码,就都应该被视作核心基础设施,并在其成为生产环境默认选项之前,就按数据库线协议或 RPC 框架那样,接受同等严苛的威胁建模”。
在 React2Shell 事件被快速武器化、并被中国国家关联团伙在数小时内大规模扫描利用之后,安全界普遍认为,这不仅是一场围绕单一漏洞的紧急应对,更是一场关于现代 Web 架构“安全默认值”能否成立的现实考验。
- 参考资料
- AWS 安全博客 | 中国关联网络威胁组织迅速利用 React2Shell 漏洞(CVE-2025-55182)
- React 官方博客 | React 服务器组件中的严重安全漏洞
- 美国国家漏洞数据库(NVD) | CVE-2025-55182 详情
- Vercel / Next.js 官方安全通告 | React 服务器组件中的远程代码执行漏洞
- 派拓网络 Unit 42 博客 | React 服务器组件和 Next.js 中的严重漏洞
- The Hacker News 安全资讯网站 | 中国黑客已开始利用新披露的 React2Shell 漏洞
Responses