公司使用了国内的某公有云,在其中一台虚拟机上搭建了全套的dify大模型程序,因为有外部服务要调用,所以开了公网访问。近日收到监控报警,这台机器性能存在异常,也收到云厂商的提醒说可能存在安全问题。
先说结论
dify使用了react server Components组件,该组件在25年11月29日,被发现存在远程命令执行漏洞;攻击者可以伪造请求,将恶意命令传入react服务,react因校验被绕过,导致命令被执行,进而被窃取信息,或者植入挖矿程序。
漏洞相关
react漏洞详情: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- 漏洞基本信息CVE 编号:CVE-2025-55182
- 漏洞类型:远程代码执行(RCE)
- 受影响组件:react-server-dom-webpack(React Server Components 的一部分)使用该库的框架,如Next.js 15.x / 16.x(App Router 模式)影响版本:react-server-dom-webpack:19.0.0,19.1.0,19.1.1,19.2.0Next.js: 15.x, 16.x(当使用 App Router 且启用了 React Server Components)
漏洞时间线:
- 11月29日,安全员Lachlan Davidson向META(Facebook)报告了此漏洞
- 11月30日,META的安全人员和react团队的工程师确认了此漏洞,并开始修复
- 12月1日,react团队的工程师提供了安全补丁,来修复此问题
- 12月3日,安全补丁提交到了npm,并且该漏洞对外公布,编号为:CVE-2025-55182
注意:react是个前端非常流行的框架,估计整个互联网上有大量受此漏洞影响的机器,该漏洞无需任何鉴权即可被利用,在接下来的一段时间内,估计会有非常多的机器会受此影响。
被植入挖矿程序排查
服务器一旦被人黑进来,后续的动作,无外乎几种:
- 窃取机密数据,拿到黑市去卖,或者对公司进行勒索;
- 对服务器上的数据进行全盘加密,然后勒索公司支付解密费用;
- 植入挖矿程序,利用服务器硬件资源来挖虚拟货币。
- 早年间,还有单纯为了炫技、情绪满足来实施攻击的,但现在这种情况越来越少了。
- 还有涉及到公司竞争、国家对抗的情况,情况就很复杂了。
如果是被植入挖矿程序,特征一般很明显,就是cpu利用率飙升,非常容易排查。
- 首先查看系统资源占用情况,
top - 找到CPU占用很高的进程,检查是否可疑
- 查看该进程的网络连接使用情况,是否对外发起了可疑连接
- 检查系统登录记录、命令执行history,不过一般被黑进来,他们都会清理现场
最终排查到,是一个docker实例上运行了next.js,然后因为漏洞被黑进来,植入了挖矿程序,把服务器CPU跑满了。找到的日志具体如下:
可以看到其是从一个黑产网站下载了挖矿程序,然后偷偷部署在/tmp路径下,并清理了自己的痕迹。
原创文章,转载请注明: 转载自空空博客
本文链接地址: 记一次React/Next.js组件RCE漏洞(CVE-2025-55182)导致服务器被植入挖矿程序排查
文章的脚注信息由WordPress的wp-posturl插件自动生成
近期评论