React2Shell漏洞揭示:为何服务器端JavaScript是个错误

📅 发布时间:2026/7/8 0:29:04 👁️ 浏览次数:
React2Shell漏洞揭示:为何服务器端JavaScript是个错误
近期一个名为“React2Shell”CVE-2025-55182的漏洞席卷了整个互联网。连加拿大政府都发布了相关公告。这足以说明其严重性。这个漏洞或许是自四年前Log4j以来最严重的漏洞。它也是一个非常相似类型的漏洞——由于不安全的反序列化导致的远程代码执行。虽然已有许多帖子在讨论这个漏洞但我认为它们并未充分探讨其根源。因为React2Shell在很大程度上揭示了JavaScript的问题所在。鉴于JavaScript无处不在的特性我在我的文章《JavaScript的崛起与再崛起》中曾对此进行过论述。JavaScript工具背后的开发者们如此痴迷于能否让JavaScript在任何地方运行却未曾停下来问问自己是否应该这样做。我认为React2Shell应该是一个警钟。就像C语言因为内存漏洞而成为一个问题一样我认为JavaScript也应因其鸭子类型duck typing引发的漏洞而被视为一个问题。那么这个漏洞是如何工作的呢React有一个名为Flight协议的东西。它允许客户端发送类似JSON的数据并在服务器端对这些数据进行反序列化。通常你会使用像JSON.parse()这样的方法来完成此操作。这方法确实有效然而所创建的对象仅仅是一个映射map或列表list。FINISHEDCSD0tFqvECLokhw9aBeRqnD0bfgPC//f6AGKsO7BR8HWNE29ImbO1f840YagHziIyZUdY30Q/7FMuWuP8trzzZQeIalNvj50v1Kw0VVGltvwVM/R4Pr7THa7aXgLdl991h7xaDk6WygUTLQFfKg更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享