文章总结： 本文介绍了一款名为React2Shell的图形化工具，用于检测和利用CVE-2025-55182漏洞。该漏洞影响Next.js与React框架，可致任意命令执行。工具基于JavaSwing开发，支持批量URL扫描、多线程检测、跨平台命令执行、内存马注入及反弹Shell等功能，适用于授权渗透测试场景。 综合评分： 81 文章分类： 安全工具,WEB安全,漏洞POC,渗透测试,红队

React2Shell 图形化漏洞检测利用工具

原创

Faithtiann Faithtiann

SEVENTEENSEC

2026年1月16日 10:47 上海

点击蓝字 关注我们

SEVENTEENSEC

声明

⊙本文作者：Faithtiann

⊙本文字数：632

⊙阅读时长：约7分钟

注：本文仅供安全研究与学习之用，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任

前言

本工具是一个基于 Java Swing 开发的 GUI 工具，用于检测和利用 CVE-2025-55182 漏洞。该漏洞是 Next.js & React框架中的一个安全漏洞，允许攻击者通过特定的请求构造执行任意命令。最近测试遇到了需要检测CVE-2025-55182漏洞的场景，搜索到了darkfiv大佬的ReactExploitGUI项目，感觉挺好的，但是只有exe形式，因此用java swing重写了工具。

主要功能

1. 漏洞检测

• 支持批量 URL 扫描

• 多线程并发扫描，提高检测速度

• 支持导入文件批量检测

2. 命令执行

• 支持执行 Linux/Windows 命令

• 自动或手动选择目标操作系统

3. 内存马注入

• 支持注入简单命令执行内存马

• 支持注入哥斯拉内存马

使用哥斯拉连接前，请先下载配套连接插件：

https://github.com/BeichenDream/GodzillaNodeJsPayload

4. 反弹 Shell

• 支持 Linux/Windows 反弹 Shell

• 支持自定义反弹命令

项目地址

https://github.com/Faithtiannn/CVE-2025-55182

本项目参考了以下开源项目，感谢大佬：

ReactExploitGUI

安全提示

• 本工具仅用于企业内部安全测试和授权的渗透测试

• 使用本工具时请遵守相关法律法规

• 禁止对未授权的目标使用本工具

• 测试完成后，请及时清理注入的内存马

本工具仅供学习和授权的安全测试使用，请勿用于非法用途。使用本工具造成的任何后果，由使用者自行承担。

END

01

你的电脑里，有个”内鬼”叫DLL—–DLL劫持学习

02

AI渗透测试框架使用

03

Frida App测试（android）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SEVENTEENSEC Faithtiann Faithtiann《React2Shell 图形化漏洞检测利用工具》