React2Shell漏洞说明站
React2Shell.com 是围绕 React2Shell(CVE-2025-55182)的漏洞信息页,由 Lachlan Davidson 维护,并声明不隶属于 Meta、React 团队或 Vercel。正文称该漏洞影响 React.js 的服务端使用场景,严重性为 10.0;在 Next.js 框架中曾以 CVE-2025-66478 跟踪,后被标记为 CVE-2025-55182 的重复项。披露时间线较清晰:2025 年 11 月 29 日向 Meta 负责披露,React 与 Vercel 于 12 月 3 日发布补丁。
从防护类型看,本站并不是 WAF、SCA 或运行时防护产品,而是漏洞情报与应急说明。它的价值在于提醒:一些扫描器可有效发现未修补且使用 Server Components 的 Next.js 实例,但扫描结果可能存在误报;部分厂商 day-0 防护是运行时级别,并不只是 WAF 规则,因此“理论上版本易受影响”不一定等于实际可被利用。管理与告警方面,正文仅提到早期扫描器、侦察工具及通知受影响方的协作,没有控制台、报表、告警策略等能力。集成能力也未体现,只有 React、Vercel、WAF 和基础设施厂商协同的背景说明。
页面未提供定价、支付方式或商业服务说明,也没有部署方式。使用方式更接近公开情报阅读:安全团队应结合 React 与 Next.js 官方公告核对版本、评估使用 Server Components 的资产,并在无法确定是否受影响时优先打补丁。
优点是信息来自披露者本人,且对无效 PoC 做了明确澄清:那些要求开发者主动向客户端暴露 vm、child_process、fs 等危险能力的样例,并不能代表真实漏洞。这有助于避免误判和错误安全感。缺点是站内未公开确定性检测方法,完整技术 writeup 仍待后续发布,也不提供企业级 SLA、合规认证、自动化修复或告警。
适合使用 React.js 服务端能力、Next.js Server Components 的研发、安全运营、应急响应和 Bug Bounty 团队。中国访问情况正文无信息,判定为未知;支付也不适用。国内团队可同步参考 React/Next.js 官方公告、云厂商 WAF/运行时防护、依赖扫描与 SCA 工具作为替代或补充。
本测评基于公开资料整理,不构成购买建议,请以 react2shell.com 官网实际信息为准。
提供关键React/Next漏洞信息,安全排查有参考。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。