CVE-2025-55182:Next.jsRSCRCE

admin
admin
admin
0
文章
0
评论
2025-12-25 02:47:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分析了Next.js高危漏洞CVE-2025-55182的真实风险。通过对三万多资产验证发现,受影响比例虽低但集中于SaaS等高价值目标。该漏洞攻击路径短且易被扫描利用。建议升级官方修复版本,减少ServerActions暴露,加强异常行为监控,避免过度依赖WAF防御。 综合评分: 100 文章分类: 漏洞分析,漏洞预警,WEB安全

cover_image

CVE-2025-55182:Next.js RSC RCE

云梦DC

云梦安全

2025年12月24日 09:42 河南

近期,Next.js / React 生态中披露了一个高危远程代码执行漏洞 —— CVE-2025-55182

在公开信息不断扩散的同时,也出现了大量疑问:

  • 这个漏洞到底“覆盖大不大”?
  • 是否被夸大?
  • 真实生产环境中是否真的可利用?

我们基于真实互联网资产,对该漏洞进行了系统性验证与统计,本文即为研究结论复盘。

一、研究背景:为什么要“自己跑一遍”

与传统业务漏洞不同,CVE-2025-55182 属于框架级漏洞,其影响面高度依赖于:

  • 架构选型(Pages vs App Router)
  • 是否启用 React Server Components
  • 是否使用 Server Actions
  • 实际运行环境(SSR / 云端)

仅靠版本号或官方说明,很难判断真实风险

因此,我们选择从攻击者视角出发,反向验证:

在真实互联网上, 到底有多少 Next.js 站点“真的走到了这条漏洞链上”?

二、漏洞简述(必要但克制)

CVE-2025-55182 产生于 React Server Components(RSC) 的 Server Action 处理链中,核心涉及:

  • react-server-dom-* 模块
  • multipart Server Action 请求
  • 反序列化与执行边界问题

在特定条件下,攻击者可在未授权的情况下触发远程代码执行。

需要强调的是:

这不是业务逻辑漏洞,而是框架层问题。

三、我们的研究方法

1️⃣ 资产筛选:不是“搜 Next.js 就算数”

我们没有采用简单的“Next.js 全量统计”,而是使用多层条件逐步收敛目标:

  • 必须是 Next.js
  • 必须使用 App Router
  • 必须出现 RSC Flight 特征
  • 排除纯静态 / CDN 前置资产

筛选过程中重点关注的特征包括:

  • /_next/app
  • __next_f
  • X-Action-Redirect
  • react-server-dom

最终得到的是:

“真实运行 React Server Components 的生产系统”

2️⃣ 验证方式:不执行代码的安全检测

考虑到漏洞级别为 RCE,我们在验证阶段:

  • 未执行任何实际命令
  • 使用 side-channel 行为特征进行检测
  • 通过响应模式判断漏洞链是否可达

这一步最大限度降低了研究过程中的风险。

四、真实数据结果

在对 3 万+ 真实互联网资产进行规范化处理与检测后,我们得到如下结论:

📊 总体观察

  • 能够确认运行 RSC 的 Next.js 项目比例并不高

  • 但一旦进入 RSC + Server Action 范围,风险显著集中

  • 命中目标多为:

  • SaaS 产品

  • 云端应用

  • 非展示型网站

📌 一个重要发现

CVE-2025-55182 并不是“广撒网型漏洞”, 但命中的,几乎都是“高价值目标”。

这也是它在安全研究领域迅速升温的原因。

五、为什么很多地区“看起来没多少”

在研究过程中,我们也观察到明显的地域与技术栈差异

  • 北美地区命中率显著更高
  • 部分亚洲地区目标数量极少

原因并不神秘:

  • 大量站点仍停留在 Pages Router
  • 纯静态 / Export 部署比例高
  • React 19.x 在企业侧推进速度不一致

这进一步说明: 该漏洞并非被“夸大”,而是高度集中于特定技术群体。

六、风险评估:这类漏洞意味着什么?

从攻防角度看,CVE-2025-55182 具备几个危险特征:

  • 攻击路径短
  • 不依赖具体业务逻辑
  • 框架统一入口
  • 极易被规模化扫描验证

从防守角度看,这类漏洞也提出了一个现实问题:

当“后端逻辑被框架抽象掉”后, 安全边界也随之上移到了框架本身。

七、防御建议

结合研究过程中的实际观察,我们给出以下建议:

  1. 尽快升级官方修复版本
  2. 审查并最小化 Server Actions 的暴露
  3. 不要将 RSC Action 视为“天然安全”
  4. 监控异常的 multipart RSC 请求行为
  5. 避免仅依赖 WAF 作为缓解手段

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:云梦安全 云梦DC《CVE-2025-55182:Next.js RSC RCE》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0