转载自公众号 奇安信威胁情报中心* 
原文链接：点击查看原文 
格式转换过来乱七八糟的，可以去看原文 


背景
近期，奇安信威胁情报中心红雨滴团队在私有情报生产流程发现最近披露的Next.js RCE(CVE-2025-55182)正在被海量黑客团伙利用，攻击者通过RCE漏洞启动反向shell，随后执行curl或者wget等命令下载后续payload并执行。 
鉴于众多 Web 框架都内含 Next.js，但漏洞预警只提供 Next.js 的版本信息。从客户视角看，要评估大量开源框架是否受此牵连，是一项极其繁重的任务。目前我们观察到Dify(快速开发、部署和运营 AI 应用的开源平台)、LobeChat (开源 AI 聊天应用与开发框架)和各类客户自研web系统正在被入侵。 
其中案例一在短短两天内入侵了800多台服务器，涉及全球26个国家和地区。 
[图片] 
案例一
捕获到的CVE...