從React2Shell因應看漏洞修補,用戶、研究員、業者的當責與相互合作均是解決問題的關鍵
第一棒:核心修補與協調披露
當React2Shell(CVE-2025-55182)漏洞被公開後,相關開發者與業者迅速行動,針對React與Next.js等主流前端框架進行核心修補,並協調漏洞披露流程,以降低攻擊面。
第二棒:邊緣緩解與WAF的攻防拉扯
為應對攻擊,許多企業立即調整其Web應用防火牆(WAF)規則,以阻擋針對React2Shell漏洞的惡意請求。例如Vercel團隊在短時間內更新防禦規則,有效降低攻擊可繞過防禦的可能性。
漏洞背景與風險分析
React2Shell是一項影響React與Next.js伺服器元件(RSC)的遠端執行指令(RCE)漏洞,攻擊者無需身分驗證即可透過單一HTTP請求觸發任意程式碼執行,導致系統被完全控制。該漏洞因CVSS v3.x評分達滿分10.0,風險極高,且被廣泛用於攻擊如NutsBot等新型殭屍網路。
產業回應與建議措施
- 企業應立即將Next.js與React伺服器元件升級至已修補版本,以消除RCE風險。
- 建議將物聯網設備隔離至專屬虛擬區域網,避免成為攻擊跳板。
- 資安團隊需加強對核心技術的監控與即時回應機制。
研究員與業者合作的關鍵角色
臺灣資安研究人員積極參與漏洞獎勵計畫,協助業者快速修補與防禦,並獲得30萬美元(約近1,000萬元)獎勵,展現專業與高效率,也凸顯資安生態系中研究員、用戶與業者之間的相互責任與合作重要性。