CVE-2025-55182 利用尝试的证据

Source: Dev.to

时间线

• 2025 年 12 月 3 日: CVE‑2025‑55182 公布（CVSS 10.0，React Server Components 远程代码执行）
• 2025 年 12 月 3 日 ~19:33 UTC: 第一次利用尝试命中我的服务器——从披露到活跃扫描不到 12 小时。

我的应用几乎没有 SEO，流量也极少，所以如果我被攻击，规模更大的平台很可能也遭到了攻击。

我观察到的情况

在日志中我看到了三位不同的攻击者，IP 和手法各不相同：

攻击者 1（2025 年 12 月 3 日 ~19:33 UTC）– 快速探测 + 利用尝试

• 在几秒内对 /login 发起 90+ 次 GET 请求
• 随后切换为 POST 请求（实际的利用负载）
• User‑Agent 为空
• 来源地区：东南亚

攻击者 2？（2025 年 12 月 4 日 ~06:37 UTC）– 侦察（可能）

• 探测 /config.json、/robots.txt、/sitemap.xml、/.env、/.git/config
• 伪造的浏览器 User‑Agent
• 来源地区：美国西部

攻击者 3（2025 年 12 月 4 日 ~07:26 UTC）– CVE‑2025‑55182 利用尝试

• 目标为 /login 和 /formaction
• User‑Agent: CVE-2025-55182-Exploit/12.0
• Header Next-Action: true（针对 Server Actions）
• 来源地区：东南亚
• 多次 POST 请求，负载约 1000 字节

我的分析

所有请求均返回 404、500 或 307，且没有一次成功执行代码。

• 307（重定向）: 我的中间件拦截了对未知路径的请求，并在它们到达任何 Server Action 之前进行了重定向。负载从未到达易受攻击的 RSC 反序列化层。
• 404（未找到）: 目标路由（/login、/formaction）在此应用中并不存在。
• 500（服务器错误）: 请求在完成前因 “Connection closed” 而崩溃。

重要提示: 当时 Cloudflare 并未拦截任何流量，所有请求直接透传。唯一起到防护作用的是我自己的中间件——纯属运气。

结语

Snyk 的安全通报中写道 “目前尚未在野外公开确认任何利用”。本帖即为该确认。

如果一个小众、未知的应用在披露后数小时内就被大规模扫描，生产环境的应用现在很可能也正被扫描。请立即打补丁！