嚴重的 React 漏洞使 Web 服務器面臨直接風險

React 生態系統（網絡上使用最廣泛的技術之一）中新發現的安全漏洞正在引發​​整個科技行業的緊急警告。

該漏洞被稱為“React2Shell”，允許攻擊者在易受攻擊的服務器上以近乎完美的可靠性實現未經身份驗證的遠程代碼執行 (RCE)，從而使數百萬個 Web 應用程序和雲工作負載面臨直接風險。

“完美十”漏洞

該漏洞被跟踪為 CVE-2025-55182 (React) 和 CVE-2025-66478 (Next.js)，CVSS 評級均為 10.0，表明嚴重程度最高。該缺陷影響該平台的 React Server Components (RSC)，這是一項旨在通過服務器端渲染提高性能的功能。

不幸的是，該缺陷存在於 RSC“Flight”協議中，該協議處理 React 如何在瀏覽器和服務器之間發送和接收數據。

一個惡意請求就足夠了

根據雲安全公司Wiz，利用 React2Shell 非常簡單。攻擊者只需向目標服務器發送特製的 HTTP 請求即可觸發 RCE，從而允許他們在別人的機器上運行自己的命令。

研究人員警告說，利用該缺陷非常容易，因為它不需要登錄，不需要特殊設置，也不需要與目標進行交互。該攻擊通過互聯網遠程進行，根據內部測試，成功率接近 100%，使其成為現代網絡技術中發現的最嚴重的漏洞之一。

為什麼這很重要

React 是元支持的 JavaScript 庫，為互聯網上的用戶界面提供支持，嵌入在現代應用程序的巨大份額中。 Wiz 研究人員發現：

• 6% 的網站使用 React
• 39% 的雲環境包含易受攻擊的 React 或 Next.js 安裝
• 44% 的雲環境已公開暴露 Next.js 實例（無論運行哪個版本）

簡而言之，現代網絡基礎設施的很大一部分可能會暴露。主要雲提供商——包括AWS、Cloudflare、Google Cloud和Fastly——都急於部署臨時防火牆規則，但他們都強調這些只是權宜之計。唯一的永久修復方法是立即更新 React 和受影響的框架。

誰是弱勢群體？

易受攻擊的 React 包包括：

• 反應服務器 dom webpack
• 反應服務器 dom 包裹
• 反應服務器 dom-turbopack

受影響的版本：19.0、19.1.0、19.1.1和19.2.0

現已提供修補版本：19.0.1、19.1.2、19.2.1

Next.js 用戶還必須更新到已修補的版本，包括： 

15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7 以及 14.x 穩定版中的其他版本。

其他可能受影響的框架包括：

• React 路由器（RSC 預覽版）
• 紅木JS
• Vite RSC 插件
• 包裹 RSC 插件
• 你的

任何捆綁或實現 React Server 組件的框架都可能容易受到攻擊。

正在做什麼？

React 開發人員已經推出了具有強化驗證和更安全反序列化的修補版本。託管提供商（包括 Cloudflare、Google Cloud、AWS 和 Fastly）已激活緊急 Web 應用程序防火牆規則，以阻止已知的漏洞嘗試。

然而，警告很明確：臨時保護是不夠的。開發人員必須立即修補。

已修補的 React 版本：19.0.1、19.1.2 和 19.2.1

已修補的 Next.js 版本：15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7

金絲雀：14.3.0-canary.88 

組織現在應該做什麼

1. 立即將 React 和 Next.js 更新到已修補的版本。
2. 檢查所有框架或捆綁程序（例如 Redwood、Waku、Vite RSC、Parcel RSC）是否有修補版本。
3. 暫時應用 WAF 規則（如果可用）。
4. 掃描易受攻擊的部署，尤其是公共 Next.js 應用程序。
5. 查看服務器日誌中是否有可疑的 Flight 有效負載請求。
6. 隔離或限制公眾對高風險應用程序的訪問，直至修補為止。
7. 假設在生產中運行現代 React 應用程序時存在暴露。

對網絡的警鐘

隨著業界爭先恐後地保護受影響系統的安全，專家強調速度至關重要。由於漏洞利用幾乎不需要付出任何努力，而且補丁現在已廣泛使用，因此迅速採取行動的組織可以在攻擊者大規模利用該漏洞之前控制風險。

閱讀更多：黑客在 DefCon 上揭露 Apple CarPlay 嚴重缺陷

React2Shell 漏洞的發現強調，即使是最值得信賴的框架也需要時刻保持警惕，在這樣的時刻，修補仍然是保持保護的唯一可靠方法。