大量React2Shell概念验证工具出现在GitHub，突显漏洞极为容易利用

React开发工程团队两周前公布及修补的满分安全漏洞CVE-2025-55182（React2Shell）引起全球高度关注，不仅公布后数小时就出现实际攻击行动，特别的是，网络上也出现大量的漏洞利用概念验证（PoC）程序代码，这样的情况并不常见。

其实，最早披露攻击行动的云计算企业AWS就曾提及这种现象，因为他们当时不仅看到许多黑客使用能公开取得、但实际上无法触发漏洞的概念验证程序尝试攻击，也在GitHub上面，看到许多对漏洞理解错误的概念验证程序代码，认为黑客选择以快速攻击为策略，并非经过彻底测试才正式上场。不过，对于有多少概念验证工具出现，当时AWS并未进一步说明。

首先公布概念验证攻击工具数量规模的研究，是趋势科技于12月10日发布的调查报告，他们一共识别145个公开的概念验证攻击工具，不过品质参差不齐，大部分无法触发漏洞；后续另一家安全公司VulnCheck公布更详尽的调查结果，他们在GitHub上总共看到128个概念验证攻击工具，并指出已有采用不同程序语言打造的版本。

VulnCheck提及，在React开发工程团队公布漏洞的当天（12月3日），大部分的漏洞利用工具或概念验证攻击工具其实都是由AI产生，并未具备利用漏洞的能力，但到了隔天，名为maple3142的开发者发布真正能触发漏洞的概念验证攻击工具，接下来的几天，有其他研究人员以此进行改良。

要逐一验证一百多个工具都确实具备开发者标榜的功能，并不容易。VulnCheck根据这些概念验证工具在GitHub取得的星星数量当作指标，结果发现，72个工具未得到星星，21个得到一颗星。得到最多星星的工具，是其中一个最早公开的项目，后续研究人员提供了完整的说明与以Python打造的工具，该项目得到1120颗星（现有1258个）。

得到次多肯定的有787个星（现有927个），研究人员使用Google开发的扫描工具Tsunami Security Scanner，打造3种JavaScript漏洞利用工具。

第三热门的工具有238个星（现为256个），研究人员采用bash打造简易的命令行工具，标榜能在Next.js应用程序侦测及利用React2Shell。

由于上述3款最热门的概念验证工具采用的程序语言完全不同，这可能意味着底层漏洞React2Shell相当容易利用，偏好不同语言的开发者，都能以自己惯用的程序语言实例概念验证工具。而根据开发者使用的程序语言，Python最大宗，但也有使用JavaScript、Shell、Go语言、TypeScript、Lua、Rust，以及Perl的情况，其中最特别的部分，是有人将相关工具打包成Docker环境的相关文件：Dockerfile与docker-compose，用途是创建存在弱点的环境。VulnCheck指出，虽然这种文件无法直接触发漏洞，进行远程程序代码执行（RCE）攻击，因此，并非传统意义上的漏洞利用工具，但能用于检测弱点。