【追更】已支持回显验证！新爆CVE-2025-55182 PoC可无条件利用，Dify受影响严重

书接上文，Goby安全团队在分析12月4日爆出的CVE-2025-55182 PoC后，分析出CVE-2025-55182的利用条件：分析出该漏洞并非完全无危害：react作为前端的主流框架，涉及面非常之广，由于其生态体系极其庞大，不排除有基于React生态链开发的服务端渲染框架，因开发过程中对原生组件的应用，形成类似原理的实体漏洞。

注：在未经过全面的Next.js的下游框架及产品进行全面分析的情况下发布关于"该漏洞危害性并未达到核弹级的危害程度"的不严谨说法进行纠正道歉。

在Goby安全团队的持续关注下，12月5日，我们捕获公开渠道新增披露了针对React Server Components（RSC）的高危漏洞CVE-2025-55182的PoC（漏洞利用证明），经白帽圈实测验证，该PoC在部分符合上述条件的二次开发框架组件及部分业务产品已稳定复现远程代码执行。

针对目前网络已公开情报梳理，该漏洞的影响面在不断扩大，目前已证实受影响较大的产品有Dify。

资产影响分析

漏洞影响资产指纹特征：

header="Next.js" || body="/_next/static"

Dify特征：

(body="\"https://marketplace.dify.ai/api/v1\"" && body="{\"children\":\"Dify\"}]]") || title="Dify"）

Goby标准版及高级版已支持Next.js框架及其衍生产品漏洞验证排查（EXP可回显），鉴于该漏洞影响范围较大且EXP已公开传播，请尽快排查资产风险：

总结

该漏洞位于底层框架，与 log4j、破壳漏洞特征相似：影响周期长、涉及框架及业务系统广，不少系统可能已隐性引入受影响组件，排查修复周期久且难以一次性完整分析，未来可能会有陆续的关联漏洞被披露。Goby安全团队将持续跟踪该漏洞及相关衍生风险的动态，及时向行业发布最新的风险提示与防御建议。

在此也提醒开发团队：若项目中使用了相关组件，可排查是否存在"使用Server Actions功能且返回值回显"的场景，如有则需及时优化代码逻辑。同时，建议关注React和Next.js官方的更新公告，及时升级到修复后的版本，从源头降低风险。