Part01

高危漏洞威胁React应用安全

React应用中的这项服务器端请求伪造（SSRF）漏洞允许攻击者执行任意shell命令，可能导致受影响服务器遭受完整的远程代码执行（RCE）攻击。安全研究人员和渗透测试人员现在可以通过常规扫描识别这些0Day风险，强化对已出现在生产环境中的漏洞链的防御能力。
Part02

ActiveScan++增强扫描功能

ActiveScan++在Burp Suite主动和被动扫描基础上，新增了对高级应用行为的低开销检查。它能检测到标准扫描器难以发现的细微问题，包括主机头操作（如密码重置投毒、缓存投毒和DNS重绑定攻击）等。

Part03

新增高危漏洞检测能力

此次更新显著增加了对知名CVE漏洞的覆盖范围，除React2Shell外还包括Shellshock和Log4Shell等已知漏洞。测试人员现在可以受益于Unicode绕过检测、模糊测试期间触发的被动扫描以及HTTP基本认证插入点识别等功能。

Part04

无缝集成与使用建议

集成过程简单无缝：启动标准Burp主动扫描时，ActiveScan++会自动运行所有检查。结果将按严重程度分类显示在扫描仪表板中。需要注意的是，在共享主机上进行主机头测试时需谨慎，可能会重定向到非预期应用。
此次更新正值React生态系统中SSRF漏洞利用事件激增之际，开发者应通过输入净化和请求白名单等方式及时修补漏洞。用户可立即从BApp商店下载ActiveScan++扩展使用。

参考来源：

Burp Suite’s Scanning Arsenal Powered With Detection for Critical React2Shell Vulnerabilities

https://cybersecuritynews.com/burp-suite-react2shell-vulnerabilities/