React/Next.js 重大 RCE 漏洞 (CVE‑2025‑55182) 影響與修復指南

2025年12月5日，安全社群曝光 React 18.2.0 及其在 Next.js 內嵌的實作中存在一個致命的遠端程式碼執行漏洞 (CVE‑2025‑55182)。此漏洞允許攻擊者透過精心構造的 HTTP 請求，即使未經身份驗證亦可在目標伺服器上執行任意程式碼，並可能導致整個應用程式被完全接管 (Vulmon, 2025)。

CVE / 漏洞摘要整理

主要發現與討論

根據 Windo (2025) 的說明，攻擊者可利用 React 的「dangerouslySetInnerHTML」或傳遞「props」時不經驗證的機制，將「eval」式碼注入至伺服器端。若應用程式使用 Next.js 的 SSR（Server‑Side Rendering），該漏洞將直接影響 Node.js 執行環境，導致攻擊者能執行 shell 命令，甚至取得完整伺服器權限。更令人擔憂的是，因為此漏洞不需登入即可觸發，攻擊門檻極低。

同一日，iThome 報導多起與 React 相關的攻擊活動。研究顯示，多組中國駭客利用 Brickstorm 工具針對 React 伺服器元件進行漏洞利用 (iThome, 2025)。Brickstorm 能自動掃描並利用 CVE‑2025‑55182，進行無需驗證的遠端程式碼執行，進一步攻擊內部網路或其他服務。此現象與去年 12 月 4 日華碩供應商遭駭事件類似，顯示企業級應用的安全漏洞仍是主要風險 (iThome, 2025)。

此外，新浪科技 (2025) 亦報導「React 警告關鍵高危漏洞：可無需身份驗證遠端執行程式碼，快快升級」的新聞，進一步證實此漏洞已被多方確認且已被利用。

影響評估

• 所有使用 React 18.2.0 且未升級至 18.2.1 的前端專案。
• Next.js 13.3.x 及以前版本，因其內部使用 React 18.2.0，亦同樣受影響。
• 若應用程式開啟 SSR，攻擊者可直接在伺服器端執行任意程式碼；若僅使用 CSR（Client‑Side Rendering），風險雖減低，但仍可能導致 XSS 進一步滲透。
• 企業內部使用自訂的「dangerouslySetInnerHTML」或自動注入「props」的元件，需進行審查。

修復指南

1. 立即升級核心依賴

# 升級 React
npm install react@18.2.1 react-dom@18.2.1 --save

# 升級 Next.js
npm install next@13.4.1 --save

若使用 Yarn，請使用 yarn upgrade react@18.2.1 react-dom@18.2.1 next@13.4.1。

2. 檢查並修補自訂元件

• 避免使用 dangerouslySetInnerHTML，若必須使用，請先經過嚴格 sanitize。
• 確保所有 props 皆經過白名單驗證，且不允許直接注入函式或 eval。

3. 實施 CSP 與輸入驗證

// 例子：在 server.js 或 next.config.js 添加 CSP
module.exports = {
  async headers() {
    return [
      {
        source: "/(.*)",
        headers: [
          {
            key: "Content-Security-Policy",
            value: "default-src 'self'; script-src 'self'; object-src 'none';",
          },
        ],
      },
    ];
  },
};

4. 監控與日誌檢查

• 啟用 Node.js 的 process.on('uncaughtException') 監聽，捕捉未處理例外。
• 將所有進入點（API、WebSocket 等）寫入安全日誌，並做異常行為偵測。

5. 如無法升級，採取暫時緩解措施

1. 將 Next.js 設置為 CSR 模式，關閉 SSR。
2. 將應用程式容器化並使用 AppArmor 或 SELinux 限制執行權限。
3. 在 Nginx 或 Apache 前端加入反向代理，並啟用速率限制。

MITRE ATT&CK 對應

• T1203 – Exploit Public-Facing Application
• T1059 – Command and Scripting Interpreter
• T1071 – Standard Application Layer Protocol (HTTP)

結論

CVE‑2025‑55182 的發現再次提醒開發團隊與資安工程師，React 及 Next.js 的更新週期必須嚴格把關。即使是前端框架，若涉及 SSR 或直接執行 JavaScript，亦可成為攻擊入口。企業應立即檢查專案依賴、修補危險元件，並加強輸入驗證與 CSP，確保即使遭到攻擊，能降低影響範圍並快速恢復服務。

參考資料與原文來源

• Vulmon. (2025). CVE-2025-55182 – Pre-Authentication Remote Code Execution Vulnerability. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55182
• Windo. (2025). 紧急警报：React 曝出核弹级漏洞，无需登录即可接管服务器. https://www.cnblogs.com/windo/p/19305918
• iThome. (2025). 多組中國駭客從事React伺服器元件滿分漏洞利用活動. https://www.ithome.com.tw/news/172651
• Sina. (2025). React 警告關鍵高危漏洞：可無需身份驗證遠端執行程式碼，快快升級. https://finance.sina.com.cn/tech/digi/2025-12-04/doc-infzrrce8578368.shtml
• CN-SEC. (2025). 聚合网络安全, 存储安全技术文章, 融合安全最新讯息. https://cn-sec.com/
• iThome. (2025). Array Networks VPN設備資安漏洞遭利用，攻擊者以此植入Web Shell. https://www.ithome.com.tw/news/172652
• iThome. (2025). Nvidia修補DGX Spark重大漏洞，可能導致AI系統遭接管. https://www.ithome.com.tw/news/172650
• iThome. (2025). 中國駭客利用Brickstorm對VMware虛擬化平台下手，從事網路間諜活動. https://www.ithome.com.tw/news/172654

🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化，
內容僅供技術研究與學習參考，實際環境請搭配官方公告與資安建議。