TryHackMe | React2Shell: CVE-2025-55182 | WriteUp

探索 React 服务器组件中的 CVE-2025–55182 漏洞

免责声明：此 WriteUp 基于 TryHackMe 上托管的夺旗（CTF）挑战赛，仅用于教育目的。

在本任务中，我们将探讨 CVE-2025–55182，这是 2025 年 12 月发现的最关键的漏洞之一，其 CVSS 评分高达 10.0。此漏洞影响 React 服务器组件（RSC）及实现它们的框架，特别是 Next.js。研究人员称之为 “React2Shell” 的该漏洞，允许攻击者通过单个精心构造的 HTTP 请求实现未经身份验证的远程代码执行。

我们将研究该漏洞的技术基础，理解 React Flight 协议的工作原理，分析实际的利用链，并剖析一个能演示真实世界远程代码执行的有效概念验证（PoC）。通过本任务的学习，我们将理解一个看似无害的反序列化缺陷是如何一步步导致整个系统被攻陷的。

任务 1 引言

在概述了基础知识之后，现在让我们深入了解关键的技术要点。
无需回答。

任务 2 理解 React 服务器组件和 Flight 协议FINISHED

CSD0tFqvECLokhw9aBeRqlqpV9HmVthYhy7dVA9QO6pNUIqEmmwYCGC2VSqWXtrNg3OemCpVLrU5JcKho849CPRPCRpVuaecB9ZOi2NCB5NA9eGc9sQQVX/RXu0U5CYo