一、漏洞背景
近日,React 核心团队确认了一个存在于 React Server Components (RSC) 实现中的严重远程代码执行 (RCE) 漏洞。该漏洞被分配了 CVE-2025-55182(Next.js 对应编号 CVE-2025-66478),攻击者无需任何身份验证,仅通过一个 HTTP 请求,即可在你的服务器上执行任意代码。
该漏洞烽火台实验室日前已做了相关预警:
https://mp.weixin.qq.com/s/djibDduH3bluVXHDSLAsSg
二、官方公告
官方公告中提到,该漏洞由Lachlan Davidson 在Lachlan Davidson11 月 29 日 进行报告:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
在作者的github中,也贴了这样一个链接,说明了该漏洞的局限性。
三、详情分析
对源码进行分析,在server.js中,当请求/formaction会进入如下:
注释很明显,主要关注decodeAction函数,decodeAction函数的实现位于node_modules/react-server-dom-webpack/cjs/react-server-dom-webpack-server.node.development.js中,接收body和serverManifest。当表单名以$ACTION_REF_123 开头,则截取$ACTION_REF_123 中的123,然后重新拼接为$ACTION_123: 作为value,然后将body、serverManifest、value作为参数调用decodeBoundActionMetaData方法。
进入到decodeBoundActionMetaData方法中,会获取所有以$ACTION_123:开头的表单项;
然后调用getChunk(body, 0) 获取表单名称为$ACTION_123:0 的内容;
随后会用serverManifest,value.id,value.bound作为参数调用loadServerReference函数,根据serverManifest找到对应函数,预加载模块,然后把它封装成一个真正可调用的 JS 函数,绑定参数。
在resolveServerReference 中,先通过id在manifest 中获取resolvedModuleData,再拿到保存的name,也就是通过模块名拿到resolvedModuleData,然后再调用resolvedModuleData.name去拿函数名进行返回;如果没获取到则会通过#进行切割id,#前作为模块名,#后则作为函数名进行返回。
随后调用preloadModule,在moduleExports中,保存该模块的所有函数,可以通过resolveServerReference 中处理后得到的函数名来获取进行返回,而函数名我们可以通过fs#writeFileSync来指定绕过manifest 中的限制来调用其他函数。
总结一下,这个漏洞实际上是绕过serverManifest中的对某个模块的特定方法的调用,如该项目中指定了fs的readFileSync方法可以调用,实际上可传入fs#writeFileSync来调用其他方法。
四、漏洞验证环境
Ddpoc上提供了该漏洞的验证环境,访问第一个镜像。
https://www.ddpoc.com/vulenv.html
点击启用,生成一个容器环境(15分钟内自动销毁)
五、漏洞验证
12月10日,第十五届网络安全漏洞分析与风险评估大会(VARA大会)在天津开幕,天津市副市长王秀峰出席会议并致辞。来自国家27个部委、52家央企和关键信息基础设施运营单位、100余家网络安全企业,以及30余所高校和科研院所的千余名代表共同出席了本次盛会。三六零集团创始人周鸿祎,以大会唯一产业界代表身份发表主题演讲,分享了在人工智能时代应对网络安全新挑战的前沿思考与实践。
周鸿祎在VARA大会发表演讲
在本次大会网络漏洞治理生态分论坛上,三六零数字安全科技集团有限公司获颁由国家信息安全漏洞库(CNNVD)与中国信息安全测评中心授予的两项重要荣誉:“2025年度优秀技术支撑单位”及“CNNVD协同软硬件优秀漏洞管理企业”,体现了其在国家漏洞治理生态中的突出贡献与技术支撑能力。
360获得由国家信息安全漏洞库(CNNVD)与中国信息安全测评中心授予的两项荣誉
据了解,VARA大会是国内网络安全领域极具影响力的年度盛会,创办于2008年,是凝聚“政产学研用”各方力量的重要交流平台。本届大会得到中央网信办、国家市场监督管理总局指导,由中国信息安全测评中心主办,聚焦漏洞治理与AI安全等关键议题。
值得一提的是,在《筑牢AI安全底座,护航经济社会高质量发展》的演讲中,周鸿祎指出,漏洞的存在已彻底改变了网络安全的游戏规则。攻击者无需强攻,仅需利用一个漏洞,通过一封恶意邮件或一个特殊数据包,就能绕过防火墙等传统防护,直接入侵系统。当前,我们正进入一切皆可编程、软件定义世界的时代,政府运转、城市运行、企业经营乃至百姓生活都架构于代码之上,这使得漏洞的破坏性变得前所未有。
更令人担忧的是“黑客智能体”的出现,将进一步加剧网络攻防的不对称性。过去黑客“一将难求”,现在可以把黑客的经验和能力训练成智能体,自动完成漏洞挖掘、漏洞利用、网络攻击等一系列任务,还能批量复制,一个人类黑客能管理几十甚至上百个黑客智能体,成为“超级黑客”。这让网络攻防从“人与人”的对抗变为“人与机器”的对抗,加剧了攻防的不对称性,甚至改变了网络战的形态。
面对严峻的挑战,周鸿祎阐述了360“用AI对抗AI”的核心策略,通过自主研发的360安全大模型,提升漏洞发现的效率和准确率。将传统规则驱动的漏洞检测方式,升级为学习驱动的方式。同时,在漏洞运营的过程中,360发现,单一模型无法应对所有问题,因此360构建了漏洞检测处置模型、告警研判模型等多个专家模型协同工作,这为下一步打造安全智能体提供了“大脑”。
作为首家以智能体驱动安全的公司,360基于安全大模型、知识库、工作流和专用工具,打造了多款专业安全智能体,实现安全运营的“自动驾驶”。安全智能体可以复刻人类高级安全专家的能力,减少对安全专家的依赖,快速响应和处理安全事件,有效应对“黑客智能体”,实现7×24小时快速响应。
360漏洞挖掘蜂群智能体技术图示
具体而言,360智能体工厂打造的漏洞挖掘蜂群智能体,能够实现安全漏洞的自动化分析和发现。在过去,漏洞处置完全依赖人工操作,流程繁琐且容易出错。分析师需要全程手动处理从危险等级评估、方案制定到最终报告撰写的整个流程,每个环节都高度依赖个人经验,且需要在不同平台间反复切换,效率低下。如今,引入漏洞检测处置蜂群智能体后,流程得到大幅简化。运营人员仅需输入漏洞编号,系统便能自动完成漏洞运营的全链条操作,实现全程无需人工干预的自动化处置。
演讲最后,周鸿祎表示,AI既是新质生产力与安全防御的新载体,也是全新的风险源头。360愿与各界携手,共同筑牢数字安全底座。
Bugcrowd has launched new platform functionality, Bugcrowd AI Triage Assistant and Bugcrowd AI Analytics, to bring speed and intelligence and insights to the process of building security resilience. Combined with the general availability of AI Connect, these new capabilities enable security teams to make smarter, faster decisions that help preempt emerging threats, not just react to them after the fact. With attackers moving faster leveraging AI tools and attack surfaces growing more complex, security teams … More →
The post Bugcrowd unveils AI tools to accelerate triage and strengthen preemptive security appeared first on Help Net Security.