一、漏洞概述

  近日，React漏洞爆发后，针对该漏洞的应用场景众说纷纭，有说“核弹级”，有说“危害甚小”。烽火台实验室日前发了两篇预警文章对漏洞背景、触发原理、影响范围做了分析，并给出了漏洞靶机，详见：

漏洞预警 | React/Next.js组件RCE漏洞（CVE-2025-55182）详情分析-【附验证环境】

  因为react有不同的上层应用，每个应用的路由和触发链不同，该漏洞很难有通用的poc可做有效性验证。判断该漏洞的影响范围核心是需要找用了相关组件的应用，这点类似log4j2。

  烽火台实验室团队在做相关技术研究时确认了大语言模型dify使用了Next.js存在（Next.js 对应编号 CVE-2025- 66478）漏洞，攻击者无需任何身份验证，仅通过一个 HTTP 请求，即可在你的服务器上执行任意代码。

  dify 是一款开源大语言模型应用开发平台轻松构建并部署生产级 Agentic AI 解决方案。Dify 提供 Agentic 工作流、RAG Pipeline、丰富的集成及可观测性等一站式能力，让 AI 触手可及。

  据描述，受影响版本的dify可能会以允许攻击者执行远程代码的方式处理不受信任的输入，在特定条件下，精心构造的请求可能导致远程代码执行。

漏洞影响的产品和版本：

<=1.10.1

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在28387个资产，国内风险资产分布情况如下。

四、解决方案

▪ 临时缓解方案

1.在 WAF 中拦截异常 RSC 请求

2.对 RSC 端点实施IP 白名单或速率限制

▪ 升级修复

目前官方已发布修复安全补丁

c15K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9j5h3&6Y4k6$3g2F1K9i4g2K6i4K6u0r3k6r3W2X3P5g2)9J5c8Y4u0W2L8r3g2S2M7$3g2K6i4K6u0r3N6r3q4Y4i4K6u0r3x3g2)9J5k6e0p5H3i4K6u0W2x3g2)9J5k6r3k6A6P5q4)9J5k6e0p5`.

五、参考链接

9c9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6D9j5h3&6Y4k6$3g2F1K9i4g2K6i4K6u0r3k6r3W2X3P5g2)9J5c8X3W2K6M7%4g2W2M7#2)9J5c8U0t1&6x3e0j5%4

1dfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2V1k6s2m8G2j5#2)9J5k6h3y4G2L8g2)9J5c8V1c8h3b7W2)9J5k6o6t1H3x3U0g2Q4x3X3b7I4x3o6b7I4z5q4)9J5k6h3S2@1L8h3H3`.

原文链接

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！