React 服務器組件中的一個嚴重漏洞正被多個威脅組織積極利用,使數千個網站(包括加密平臺)面臨直接風險,如果受到影響,用戶可能會發現其所有資產被盜。
該漏洞編號為 CVE-2025-55182,別名為React2Shell ,允許攻擊者在未經身份驗證的情況下遠程執行受影響服務器上的代碼。React 的維護人員於 12 月 3 日披露了該問題,並將其評為最高級別的嚴重性等級。
披露後不久,GTIG 發現,出於經濟動機的犯罪分子和疑似國家支持的黑客組織廣泛利用漏洞,攻擊雲環境中未打補丁的 React 和 Next.js 應用程序。
利用 React 的加密竊取程序 CVE-2025-55182
— 安全聯盟 (@_SEAL_Org) 2025年12月13日
我們觀察到,利用最近 React CVE 漏洞,上傳到合法(加密)網站的惡意程序數量大幅增加。
所有網站現在都應該檢查前端代碼,查找任何可疑資產。
該漏洞會造成什麼影響?
React 服務器組件用於將 Web 應用程序的部分功能直接運行在服務器上,而不是在用戶的瀏覽器中。該漏洞源於 React 對傳入這些服務器端函數的請求進行解碼的方式。
簡單來說,攻擊者可以發送精心構造的 Web 請求,誘騙服務器運行任意命令,或者有效地將系統的控制權移交給攻擊者。
該漏洞影響 React 19.0 至 19.2.0 版本,包括 Next.js 等常用框架使用的軟件包。通常,只要安裝了存在漏洞的軟件包,攻擊者即可利用該漏洞。
攻擊者如何利用它
谷歌威脅情報小組 (GTIG) 記錄了多起利用該漏洞部署惡意軟件、後門和加密貨幣挖礦軟件的活躍攻擊活動。
漏洞披露後幾天內,一些攻擊者就開始利用該漏洞安裝門Monero挖礦軟件。這些攻擊會悄無聲息地消耗服務器資源和電力,為攻擊者牟利,同時降低受害者的系統性能。
加密平臺嚴重依賴 React 和 Next.js 等現代 JavaScript 框架,通常通過前端代碼處理錢包交互、交易簽名和許可批准。
如果網站遭到入侵,攻擊者可以注入惡意腳本來攔截錢包交互或將交易重定向到他們自己的錢包——即使底層區塊鏈協議仍然安全。
這使得前端漏洞對於通過瀏覽器錢包簽署交易的用戶來說尤其危險。
