React2Shell (CVE-2025-55182)：ReactServer 中的嚴重遠端程式碼執行漏洞

CVE-2025-55182 是 ReactServer 中一個關鍵性的、無需驗證即可觸發的遠端程式碼執行漏洞，其 CVSS 分數為 10.0，屬於最高嚴重性等級。 作為OPSWAT 員計畫的一環，我們的研究員針對此漏洞進行了全面性的技術分析，深入探究其根源在於 React Flight 反序列化協定中的問題、完整的攻擊鏈，以及其對現代網路生態系統造成的廣泛影響。本部落格文章將呈現我們的研究發現，並為防禦者提供可執行的實務指引。

React 已成為全球採用最廣泛的前端函式庫之一，驅動了相當比例的現代網頁與mobile 。 Stack Overflow 的開發者調查始終將 React 列為頂尖的網頁框架之一，其採用率在全球專業開發者中已超過 40%。與此成長趨勢並行，React 團隊在 React 19 中推出了 ReactServer (RSC) 作為核心功能——這是一場範式轉移，將渲染邏輯從客戶端移至伺服器端，從而實現更優化的效能，並使伺服器端與客戶端程式碼之間能更緊密地整合。

然而，這種架構演進卻引入了一個關鍵的新攻擊面。2025 年 11 月 29 日，資安研究員 Lachlan Davidson 向 Meta 的漏洞懸賞計畫通報了 React 伺服器端反序列化邏輯中的一項漏洞。該漏洞於 2025 年 12 月 3 日以CVE-2025-55182 編號公開披露，可透過單一精心設計的 HTTP 請求，實現未經身份驗證的遠端程式碼執行。 此漏洞被歸類為 CWE-502（未受信任資料的反序列化），無需任何驗證、使用者互動或特殊應用程式設定——任何預設的「create-next-app」生產環境部署皆可立即遭到利用。

React 是一套用於建構使用者介面的 JavaScript 函式庫，由 Meta 及龐大的開源社群共同維護。 隨 React 19 推出的 ReactServer (RSC)，標誌著 React 應用程式處理渲染方式的根本性轉變。與完全在瀏覽器中執行的傳統客戶端元件不同，伺服器元件在伺服器端執行，並產生 UI 的序列化表示形式，再將其串流傳送至客戶端。此設計可減少傳送至瀏覽器的 JavaScript 量、改善互動時間指標，並能直接存取資料庫和檔案系統等伺服器端資源。

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

假設有一個定義如下所示的Server ：

對應的 HTTP 請求包含多個表單欄位，每個欄位皆由一個鍵和一個值組成：欄位 0 包含參數陣列，其中包含如"$W1"和"$K2" 之類的參照，而欄位1和2_*則包含這些參照所解析出的資料。伺服器會在每個欄位送達時進行處理，並將中間結果儲存於稱為「區塊」的物件中。

一個區塊（chunk）是一個具有四項關鍵屬性的thenable 物件：status（解析狀態）、value（儲存的資料）、reason（錯誤資訊）以及 _response（對父級回應物件的回指）。 當伺服器遇到 await chunk 時，會呼叫該片段的.then()方法。若片段的狀態為 INITIALIZED，則 resolve 回呼函式會收到 chunk.value。若狀態為 PENDING、BLOCKED 或 CYCLIC，則回呼函式會被排入佇列以供稍後執行。

以下內容將說明 Next.js 在正常情況下如何處理傳入的Server 請求，從 HTTP 層一直到 React Flight 反序列化引擎。

當Server 被呼叫時，請求會進入 handleAction 函式。此函式會驗證元資料、檢查標頭與 CSRF 憑證，並確認該請求為有效的擷取動作。 接著會建立一個名為busboyStream 的串流，用以解析多部分表單內容。decodeReplyFromBusboy函式會將事件發射器綁定至此串流，當接收到原始資料時，便會觸發 ReactServer反序列化處理函式。decodeReplyFromBusboy 的回傳值為chunk_0；await 運算子會解析該值，並將其組裝後的結果傳遞給被呼叫的Server 。

getChunk 函式會傳回對應於指定 ID 的區塊。若該區塊尚未存在，則會建立一個ResolvedModelChunk（若 response._formData 中已有資料）或一個 PendingChunk（若該 ID 尚未收到任何資料）。

當 decodeReplyFromBusboy 傳回 chunk_0 時，該區塊仍處於 PENDING 狀態。await 運算子會呼叫 chunk_0.then()，並將 resolve 和 reject 回呼函式暫時儲存於 chunk_0.value 和 chunk_0.reason 中。這些回呼函式會在參考解析完成後，由 wakeChunk 函式重新啟用。

當 busboyStream 接收完整的原始資料欄位時，它會觸發「field」事件發射器，呼叫 resolveField 函式，並啟動反序列化程序——將原始表單資料轉換為完整建構的 JavaScript 物件。以下函式負責管理此流程。

resolveField(response, key, value)

鍵值對會附加至 response._formData。接著，該函式會擷取與該鍵對應的 ID 所對應的區塊。若該區塊已存在，則會呼叫 resolveModelChunk 來重建它。這種延遲解析是必要的，因為值中可能包含對某些欄位的引用，而這些欄位的原始資料尚未送達；在此情況下，ReactServer 一個帶有自訂 resolve 和 reject 回呼函式的 PendingChunk，以便稍後處理這些引用。

resolveModelChunk(chunk, value, id)

resolveModelChunk 會建立一個狀態為 RESOLVED_MODEL 的 ResolvedModelChunk，並注入原始資料。接著，它會透過 initializeModelChunk 重建該區塊，並呼叫 wakeChunk 來觸發任何排入佇列的 resolve 和 reject 回呼函式，從而完成該物件或參照的解析。

initializeModelChunk(chunk)

initializeModelChunk 會將區塊的狀態轉換為 CYCLIC（表示正在進行參照解析），並開始進行反序列化。它會使用 JSON.parse 從 chunk.value 建立一個原始 JavaScript 物件，然後將此物件傳入 reviveModel 函式中。

reviveModel(response, parentObj, parentKey, value, reference)

reviveModel 會遞迴處理已解析物件中的每個元件。當遇到字串值時，它會呼叫 parseModelString 來處理該值。

parseModelString(response, obj, key, value, reference)

parseModelString 會根據字串前綴進行分派，以處理不同編碼類型的參考。對於以 $ 開頭的參考，會呼叫 getOutlinedModel 函式來解析跨區塊參考。

getOutlinedModel(response, reference, parentObject, key, map)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

關鍵的漏洞在於，這些屬性名稱從未經過驗證。 伺服器並未驗證所請求的屬性究竟是物件本身的屬性，還是繼承自原型的屬性。因此，攻擊者可以在屬性路徑中加入`__proto__`，藉此遍歷原型鏈，並存取那些本不應透過使用者控制的輸入來存取的內部方法。例如，參考 `$1:__proto__:then` 會解析為 `Chunk.prototype.then` —— 攻擊者隨後便能使用受控的參數來呼叫此函式。

此漏洞利用鏈利用了 React 的 Flight 反序列化邏輯中兩條不同的程式碼路徑。

首先是 Chunk.prototype.then，它決定了區塊作為 thenable 時的行为。當 await 應用於處於 INITIALIZED 狀態的區塊時，系統會呼叫 resolve(chunk.value)。如果 chunk.value 本身是一個 thenable（即具有.then()方法的物件），則 await 運算子會遞迴地呼叫 chunk.value.then()。這種遞迴解析機制，正是攻擊者藉此將執行流程重定向至任意函式的途徑。

第二個是 parseModelString() 中的 $B（blob）前綴處理器：

在 $B 案例中，該函式會呼叫 response._formData.get(response._prefix + id)。_formData.get 和 _prefix 皆為儲存於區塊內的 _response 物件之屬性。透過遍歷原型鏈來操控這些屬性，攻擊者便能將此呼叫重定向，使其以任意程式碼作為參數來呼叫全域的 Function 建構函式。

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

為了展示其潛在的實際影響，我們的研究員根據多個資安研究團隊獨立記錄的分析結果，建構了一個概念驗證型載荷。此漏洞利用程式分為兩個階段運作：

第一階段——建構虛構片段：

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

由於此時尚未收到字段 1，ReactServer 會Server 建立 resolve 和 reject 回調函式，以處理此待處理的引用。

第二階段——觸發因素的解決：

一旦字段 1（包含 "$@0"，即對第 0 個區塊的原始引用）被傳遞，待處理的區塊便會解析並直接指向該偽區塊。這會觸發 wakeChunk，該方法會在引用解析過程中處理排隊的回呼函式，並啟動原型鏈遍歷。 一旦偽塊完全解析完成，wakeChunk 便會再次被呼叫。由於偽塊的解析回呼函式是 Node.js 的隱含解析函式，它會呼叫該塊的 .then() 方法並解析其值——最終透過 Function 建構子來建構並執行注入的惡意程式碼。

完整的漏洞利用僅需一個 HTTP 請求：

我們的研究人員在受控的實驗室環境中，利用透過 create-next-app 生成並針對生產環境建置的標準 Next.js 應用程式，成功重現了此漏洞——且未對預設設定進行任何修改。此次重現證實，上述所述的單次請求攻擊載荷確實能可靠地實現遠端程式碼執行。

React 團隊於 2025 年 12 月 3 日發布了修補程式，這一天正是該漏洞公開披露之日。已修復的版本包括 React 19.0.1、19.1.2 及 19.2.1。 此修補程式在 getOutlinedModel() 和 reviveModel() 中新增了嚴格的屬性驗證機制，明確阻止從 Flight 有效載荷中由使用者控制的參照路徑解析繼承的原型屬性——包括 __proto__、constructor 和 prototype。

各組織應立即採取以下行動：

1. 請根據實際情況執行 `npm install react-server-dom-webpack@latest`、`react-server-dom-parcel@latest` 或 `react-server-dom-turbopack@latest`，將 React 套件升級至修補版本（19.0.1、19.1.2 或 19.2.1）。
2. 升級框架依賴項— Next.js、React Router、Waku 及其他受影響的框架均已發布相應的修補程式。請參閱 React 團隊的公告，以了解各版本的具體升級路徑。
3. 請勿僅依賴主機服務供應商的緩解措施——雖然 Vercel 等供應商在漏洞曝光後部署了臨時性的 WAF 規則，但這些僅是權宜之計，無法取代對底層套件進行修補。
4. 檢查伺服器日誌中是否存在帶有 Next-Action 標頭、且內容為 multipart/form-data 格式並包含 $@ 或 __proto__ 模式的 POST 請求，並監控應用程式日誌中是否出現意外的 child_process 或 execSync 呼叫。

OPSWAT 是 MetaDefender™ 平台內的一項專有技術，能提供抵禦 CVE-2025-55182 等漏洞所需的可視性與控制能力。 由於此漏洞存在於開源 npm 套件（react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack）中，企業必須先建立完整的清單，掌握這些元件在基礎架構中的部署位置，才能進行有效的修復。