從React2Shell因應看漏洞修補,用戶、研究員、業者的當責與相互合作均是解決問題的關鍵
第一棒:核心修補與協調披露
當React2Shell(CVE-2025-55182)漏洞被公開後,相關開發者與平臺迅速響應,針對React與Next.js等主流前端框架進行核心修補,並協調漏洞披露流程,以降低攻擊面。
第二棒:邊緣緩解與WAF的攻防拉扯
為應對攻擊,許多雲端服務提供者如Vercel,緊急更新其WAF(Web應用防火牆)防護規則,以阻擋React2Shell攻擊可繞過防禦規則的可能性,並協助用戶建立更穩健的防禦機制。
漏洞背景與風險分析
React2Shell是一項位於React Server Components(RSC)協議層的遠端執行程式碼(RCE)漏洞,攻擊者無需身分驗證即可透過單一HTTP請求觸發任意程式碼執行,導致系統被完全控制。
此漏洞因影響範圍廣、攻擊門檻低,且危害程度極高,被評為CVSS v3.x滿分10.0,成為2025年底最受關注的資安事件之一。
產業回應與建議措施
- 企業應立即將Next.js與React伺服器元件升級至已修補版本,以消除RCE風險。
- 建議將物聯網設備隔離至專屬虛擬區域網,避免成為攻擊跳板。
- 資安團隊需加強對核心技術的監控與漏洞即時回應機制。
臺灣資安研究人員參與漏洞獎勵計畫,協助Vercel在短時間內更新防護規則,並獲得30萬美元(約近1,000萬元)獎勵,展現專業與高效率,也凸顯資安生態系中各角色的責任與合作重要性。