文章详细介绍了react2shell(CVE-2025-55182)的发现和披露过程,这是React服务器组件中一个严重的未授权远程代码执行漏洞。该漏洞源于Flight协议中的类型验证不当,使攻击者能够构造任意数据块并访问对象原型。叙述了研究人员发现该漏洞的历程以及后续事件,突出了技术挑战和跨时区合作。
背景
React服务器组件是React生态系统中一个相对较新的功能,允许更精细地控制服务器端渲染。Flight协议是React用于从服务器向客户端流式传输UI组件的通信协议。
- 来源
- Lobsters
- 发布时间
- 2026年5月9日 22:19
- 评分
- 8.0 / 10