文章总结： 文档通报CVE-2025-55182React2Shell远程代码执行漏洞。漏洞因React服务端组件未校验表单请求导致原型污染，攻击者无需认证即可利用公开代码执行任意命令控制服务器。安天智甲终端防御系统已具备检测防御能力，建议用户及时排查并升级防护。 综合评分： 70 文章分类： 漏洞预警,WEB安全,漏洞分析,解决方案

威胁通缉令 · 红桃A丨React2Shell RCE漏洞（新增）

安天集团

2026年3月28日 11:01 北京

点击上方”蓝字”

关注我们吧！

最新版“病毒通缉令”已在计算机病毒分类命名百科同步更新：https://www.virusview.net/virusWantedOrder

今日推送：React2Shell RCE漏洞，牌面情况：新增

漏洞名称：React2Shell RCE漏洞

CVE编号：CVE-2025-55182

发现时间：2025-11

检测规则首次添加至AVL SDK反病毒引擎病毒库时间：2025-11****

简介：‌CVE-2025-55182（别名 React2Shell）是React服务端组件存在的高危远程代码执行漏洞。漏洞源于相关组件在处理前端表单请求时，未对恶意字段进行安全校验过滤，进而引发原型污染与不安全解析问题。

攻击者可构造恶意请求直接绕过验证，劫持服务端执行流程，实现任意系统命令执行、服务器文件读写等操作，从而完全控制服务器。该漏洞无需身份验证，单次请求即可触发，目前已存在公开利用代码，存在被主动攻击利用的风险。

安天智甲终端防御系统（IEP）拥有驱动级主防模块，基于安天AVL SDK反病毒引擎的检测能力和内核与应用层的防御点，可有效阻断该漏洞攻击链，和其他类似的攻击活动。

**往期推荐:

“威胁通缉令”年度更新！

安天历年发布的威胁通缉令，今天正式在计算机病毒百科网站上线

手机上的恶意代码知识库——计算机病毒百科服务号上线了

#

计算机病毒分类命名知识百科上线试运行（安天研究院出品）

视频揭秘入选“十四五”硬核科技成果的反病毒引擎**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天集团 《威胁通缉令 · 红桃A丨React2Shell RCE漏洞（新增）》