臺灣研究人員揭React2Shell漏洞因應另一面，助Vercel解決WAF繞過並獲1,000萬元獎金

漏洞背景與影響範圍

React2Shell漏洞直接衝擊了以React伺服器端元件實作的Next.js，成為全球多數網站與應用程式面臨的安全威脅。該漏洞允許攻擊者透過特定條件觸發，進而取得伺服器端控制權，對網站安全性造成重大影響。

臺灣研究人員Ginoah深入分析漏洞的運作機制，並針對React伺服器端元件的實際運作原理提出詳細解析。其研究不僅揭露了漏洞的觸發手法，更進一步公開了通報WAF（Web應用程式防火牆）繞過的實戰經驗，協助Vercel有效識別與防禦相關攻擊。

在戴夫寇爾年度研討會上，詳細分享了React2Shell漏洞事件後的應對策略，強調用戶、研究員與業者之間的責任分工與合作，是解決問題的關鍵。此案例也凸顯資安生態系在面對重大漏洞時，如何透過聯防體系共同扛起應對威脅的重責大任。

Vercel為鼓勵資安研究，特別設立高額獎金計畫，針對React2Shell漏洞的發現與應對，最終授予臺灣研究人員1,000萬元獎金，反映產業對資安研究的重視與支持。