文章总结： React2Shell漏洞CVE-2025-55182获评10.0满分，允许未认证远程代码执行。RondoDox僵尸网络正利用此漏洞部署挖矿程序与Mirai变种，其核心组件具备独占机制，高频扫描并清除竞争对手进程。建议立即升级Next.js、部署WAF并监控异常进程以应对威胁。 综合评分： 90 文章分类： 漏洞预警,威胁情报,恶意软件,WEB安全

CVSS 评分 10.0！满分高危漏洞 React2Shell 来袭，你的 Next.js 服务可能正在挖矿！

原创

Hankzheng

技术修道场

2026年1月6日 07:55 广东

最近技术圈子里真的是不太平。大家还在忙着卷 AI、卷架构的时候，安全圈爆出了一个惊天大雷。

如果你或者你们公司的技术栈里用到了 React Server Components (RSC) 或者 Next.js，那么请立刻、马上、放下手头工作，仔细读完这篇文章。

⚠️ 高能预警： 一个名为 React2Shell (CVE-2025-55182) 的漏洞正在被疯狂利用，而它的 CVSS 评分是恐怖的 10.0 满分！

这是什么概念？意味着攻击者不需要任何身份验证，就能在你的服务器上远程执行任意代码 (RCE)。说得直白点，你的服务器大门不仅敞开，连钥匙都插在锁孔上了。

而一个潜伏了整整 9 个月的僵尸网络——RondoDox，正在利用这个漏洞大杀四方。

今天，我就带大家扒一扒这个 RondoDox 是何方神圣，以及它那套令人咋舌的“黑吃黑”技术细节。

01满分漏洞 React2Shell：一把通往服务器的万能钥匙

先来聊聊这次的“作案工具”：React2Shell。

Next.js 是现在前端界的“当红炸子鸡”，很多大厂都在用。但正所谓树大招风，这次爆出的 CVE-2025-55182 漏洞，核心问题出在 React Server Components (RSC) 的处理逻辑上。

在某些特定配置下，未经验证的攻击者可以通过构造恶意的 HTTP 请求，直接触发服务器端的代码执行。

📊 来自 Shadowserver Foundation 的数据（2025.12.31）：

• 全球目前仍有约 90,300 个实例处于“裸奔”状态！
• 美国是重灾区（6.8万台），其次是德国、法国和印度。

这不仅仅是一个漏洞，简直就是一场针对现代 Web 架构的杀戮。

02RondoDox 的进化史：从“手动挡”到“全自动”

CloudSEK 的分析报告揭露了这个僵尸网络长达 9 个月的处心积虑。RondoDox 绝不是一般的脚本小子搞出来的东西，他们的战术演进非常有章法：

• 🔹 第一阶段（2025年3月-4月）：踩点期。 攻击者主要进行手动的漏洞扫描，像个小偷一样先来踩盘子。
• 🔹 第二阶段（2025年4月-6月）：试探期。 开始针对 WordPress、Drupal、Struts2 这些老牌应用以及 Wavlink 路由器进行每日的大规模探测。
• 🔹 第三阶段（2025年7月-12月）：爆发期。 实现了每小时一次的全自动化大规模部署。

到了 12 月，随着 React2Shell 的披露，RondoDox 就像闻到了血腥味的鲨鱼，迅速将其纳入武器库，开始疯狂收割 Next.js 服务器。

03硬核拆解：RondoDox 的攻击链与“黑吃黑”策略

这是我觉得最“精彩”，也最值得技术人员警惕的部分。

当 RondoDox 攻破一台服务器后，它不会急着破坏，而是会按顺序投放三个核心组件，这文件命名也是充满了恶趣味：

1. /nuts/poop

   这是加密货币挖矿程序。简单粗暴，利用你的 CPU 帮他们赚钱。

2. /nuts/bolts

   这是核心的Botnet 加载器与健康检查脚本（划重点，后面细说）。

3. /nuts/x86

   这是著名的 Mirai 僵尸网络变种，用于发起 DDoS 攻击。

😈 最狠的“守门员”：/nuts/bolts

很多时候，服务器被黑了会很卡，因为上面可能跑着好几拨黑客的挖矿程序。但 RondoDox 极其霸道，它不仅要占领你的服务器，还要独占。

/nuts/bolts 脚本实际上是一个功能强大的系统维护工具（当然是恶意的）。它的核心逻辑非常凶残：

• 🧹 清理门户：

  它会扫描系统中的进程，终止所有竞争对手的恶意软件和挖矿进程。只有它自己能跑，别人都得死。

• 🧼 深度清洗：

  甚至会清理 Docker 容器中的 Payload、删除之前攻击留下的痕迹和 Cron Jobs（定时任务）。

• 🔗 持久化驻留：

  既然清理了别人的 Cron Job，它自然会把自己的写进 /etc/crontab，确保服务器重启后它还在。

CloudSEK 分析师指出： “它会持续扫描 /proc 目录来枚举正在运行的可执行文件，并且每 45 秒就会杀掉所有不在白名单里的进程。”

这招太狠了！通过高频扫描 /proc（Linux内核提供的进程信息接口），它能极其高效地防止“友商”抢占资源。这在技术实现上并不复杂，但如此高频且激进的策略，足以看出攻击者对算力的渴望。

04这种时候，我们该怎么办？

面对 CVSS 10.0 的漏洞和如此凶残的僵尸网络，作为 IT 运维和开发者，我们必须行动起来：

1. 立刻升级 Next.js！

   别犹豫，去官方查阅最新的补丁版本，这是最根本的解决之道。

2. 网络隔离（VLANs）：

   不要让你的 IoT 设备直接暴露在核心业务网络中。把它们划分到独立的 VLAN 里，就算被黑了，也能控制爆炸半径。

3. 上 WAF（Web应用防火墙）：

   在应用前端部署 WAF，拦截恶意的 Payload 请求。

4. 监控进程异常：

   如果你发现服务器 CPU 飙升，或者在进程列表里看到了奇奇怪怪的名字（比如 /nuts/... 开头的），请立即断网排查。

💡 说点什么

RondoDox 的案例再次给我们敲响了警钟：没有绝对安全的系统，只有不断更新的防御。

特别是使用了 React/Next.js 这种前沿技术栈的同学，不要以为只要代码写得好就没事，底层框架的漏洞往往更致命。

赶紧去检查一下你的服务器吧，希望你的机器还没有开始帮别人“挖矿”。

觉得文章有用？点个“在看”，转给身边的运维和开发的兄弟们吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《CVSS 评分 10.0！满分高危漏洞 React2Shell 来袭，你的 Next.js 服务可能正在挖矿！》