一個新的 React 漏洞會導致所有 token 耗盡，影響“數千個”網站。

一個嚴重漏洞React 服務器組件中的漏洞正被多個威脅組織積極利用，使數千個網站（包括加密平台）面臨直接風險，如果受到影響，用戶可能會發現其所有資產被盜。

該漏洞編號為 CVE-2025-55182，暱稱是React2Shell該漏洞允許攻擊者在未經身份驗證的情況下，在受影響的服務器上遠程執行代碼。 React 的維護人員於 12 月 3 日披露了該漏洞，並將其嚴重程度評為最高級別。

披露後不久，GTIG 發現，出於經濟動機的犯罪分子和疑似國家支持的黑客組織廣泛利用漏洞，攻擊雲環境中未打補丁的 React 和 Next.js 應用程序。

React 服務器組件用於將 Web 應用程序的部分功能直接運行在服務器上，而不是在用戶的瀏覽器中。 該漏洞源於 React 對傳入這些服務器端函數的請求進行解碼的方式。

簡單來說，攻擊者可以發送精心構造的 Web 請求，誘騙服務器運行任意命令，或者有效地將系統的控制權移交給攻擊者。

該漏洞影響 React 19.0 至 19.2.0 版本，包括 Next.js 等常用框架使用的軟件包。 通常，只要安裝了存在漏洞的軟件包，攻擊者即可利用該漏洞。

谷歌威脅情報小組 (GTIG) 記錄了多起利用該漏洞部署惡意軟件、後門和加密貨幣挖礦軟件的活躍攻擊活動。

漏洞披露後幾天內，一些攻擊者就開始利用該漏洞安裝門羅幣挖礦軟件。 這些攻擊會悄無聲息地消耗服務器資源和電力，為攻擊者牟利，同時降低受害者的系統性能。

加密平台嚴重依賴 React 和 Next.js 等現代 JavaScrIPt 框架，通常通過前端代碼處理錢包交互、交易簽名和許可批准。

如果網站遭到入侵，攻擊者可以注入惡意腳本來攔截錢包交互或將交易重定向到他們自己的錢包——即使底層區塊鏈協議仍然安全。

這使得前端漏洞對於通過瀏覽器錢包簽署交易的用戶來說尤其危險。