近期,一个名为“React2Shell”(CVE-2025-55182)的漏洞席卷了整个互联网。连加拿大政府都发布了相关公告。这足以说明其严重性。这个漏洞或许是自四年前Log4j以来最严重的漏洞。它也是一个非常相似类型的漏洞——由于不安全的反序列化导致的远程代码执行。
虽然已有许多帖子在讨论这个漏洞,但我认为它们并未充分探讨其根源。因为React2Shell在很大程度上揭示了JavaScript的问题所在。鉴于JavaScript无处不在的特性,我在我的文章《JavaScript的崛起与再崛起》中曾对此进行过论述。
JavaScript工具背后的开发者们如此痴迷于能否让JavaScript在任何地方运行,却未曾停下来问问自己是否应该这样做。我认为React2Shell应该是一个警钟。就像C语言因为内存漏洞而成为一个问题一样,我认为JavaScript也应因其鸭子类型(duck typing)引发的漏洞而被视为一个问题。
那么,这个漏洞是如何工作的呢?React有一个名为Flight协议的东西。它允许客户端发送类似JSON的数据,并在服务器端对这些数据进行反序列化。通常,你会使用像JSON.parse()这样的方法来完成此操作。这方法确实有效,然而,所创建的对象仅仅是一个映射(map)或列表(list)。FINISHED
CSD0tFqvECLokhw9aBeRqnD0+bfgPC//f6AGKsO7BR8HWNE29ImbO1f+840YagHziIyZUdY30Q/7FMuWuP8tr+zzZQeIalNvj50v1Kw0VVGltvwVM/R4Pr7THa7aXgLdl991h7xaDk6WygUTLQFfKg==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
