React2Shell漏洞深度剖析：CVSS 10.0分RCE漏洞威胁Next.js与React SSR应用

年末代码冻结前的短暂平静已被打破。一个被编号为 CVE-2025-55182，并被俗称为 React2Shell 的严重漏洞已经披露。该漏洞影响了 React 服务端渲染架构中的核心序列化机制，并对 Next.js 应用产生了特别严重的影响。

这并非一个客户端的跨站脚本问题。这是一个远程代码执行漏洞，其 CVSS v4.0 评分为 10.0（严重）。

如果你的基础设施使用了 Next.js v15.x 或早于 16.0.7 的任何 v16.x 版本，或者使用了采用标准 hydration 技术的自定义 React SSR 实现，那么你的生产环境很可能面临未经身份验证的远程命令执行风险。

执行摘要

• 漏洞: CVE-2025-55182 ("React2Shell")
• 类型: 不安全反序列化导致远程代码执行
• 严重性: 严重 (CVSS 10.0)FINISHED CSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL+XZalbG4W5rKqlfkYKBxiBRTtAbVDVipJZo+ydjViqDCjSID+K7RTFn0PJSVCSIv+tgwL2+I6PUZNzi60N7JH9ucnpc9fU