一个新的 React 漏洞会导致所有 token 耗尽，影响“数千个”网站。

一个严重漏洞React 服务器组件中的漏洞正被多个威胁组织积极利用，使数千个网站（包括加密平台）面临直接风险，如果受到影响，用户可能会发现其所有资产被盗。

该漏洞编号为 CVE-2025-55182，昵称是React2Shell该漏洞允许攻击者在未经身份验证的情况下，在受影响的服务器上远程执行代码。React 的维护人员于 12 月 3 日披露了该漏洞，并将其严重程度评为最高级别。

披露后不久，GTIG 发现，出于经济动机的犯罪分子和疑似国家支持的黑客组织广泛利用漏洞，攻击云环境中未打补丁的 React 和 Next.js 应用程序。

该漏洞会造成什么影响？

React 服务器组件用于将 Web 应用程序的部分功能直接运行在服务器上，而不是在用户的浏览器中。该漏洞源于 React 对传入这些服务器端函数的请求进行解码的方式。

简单来说，攻击者可以发送精心构造的 Web 请求，诱骗服务器运行任意命令，或者有效地将系统的控制权移交给攻击者。

该漏洞影响 React 19.0 至 19.2.0 版本，包括 Next.js 等常用框架使用的软件包。通常，只要安装了存在漏洞的软件包，攻击者即可利用该漏洞。

攻击者如何利用它

谷歌威胁情报小组 (GTIG) 记录了多起利用该漏洞部署恶意软件、后门和加密货币挖矿软件的活跃攻击活动。

漏洞披露后几天内，一些攻击者就开始利用该漏洞安装门罗币挖矿软件。这些攻击会悄无声息地消耗服务器资源和电力，为攻击者牟利，同时降低受害者的系统性能。

加密平台严重依赖 React 和 Next.js 等现代 JavaScript 框架，通常通过前端代码处理钱包交互、交易签名和许可批准。

如果网站遭到入侵，攻击者可以注入恶意脚本来拦截钱包交互或将交易重定向到他们自己的钱包——即使底层区块链协议仍然安全。

这使得前端漏洞对于通过浏览器钱包签署交易的用户来说尤其危险。