React/Next.js 面臨 T 級 DDoS 風險：重大漏洞引發海嘯

Meta 與 Vercel 於 2025 年 12 月 3 日同時公布兩個 CVSS 10.0 的關鍵漏洞，分別為 CVE-2025-55182（React Server Components）與 CVE-2025-66478（Next.js）。該漏洞可讓未經授權的攻擊者透過精心構造的 HTTP 請求，觸發服務端的遠程程式碼執行 (RCE)，並在高併發條件下造成巨量請求，最終導致 T 級 DDoS 攻擊（攻擊流量可達數 TB/秒）(iThome)。

由於 React Server Components (RSC) 已被 Next.js 15.x、16.x 等主流版本整合，受影響的應用包含數百萬個網站與 SaaS 服務。攻擊者僅需在請求中插入特定 `x-react-ssr` 標頭，便可觸發 RSC 的反序列化缺陷，並執行任意 JavaScript 代碼。若同時結合大量伺服器節點，攻擊者可在短時間內消耗大量資源，造成網路擁塞與服務中斷。(TechCrunch)

目前已知攻擊工具（如 “ReactStorm”）在社群論壇上公開，並已被多個雲端防禦廠商報告為「已實際利用」案例。阿里雲安全團隊通報，國內多家企業已被黑客利用此漏洞觸發 10GB/s 以上的攻擊流量，造成業務停擺與 IP 封鎖 (Aliyun Security)。

受影響的 React 套件版本包含：

• react-server-dom-parcel 19.0~19.2.0
• react-server-dom-turbopack 19.0~19.2.0
• react-server-dom-webpack 19.0~19.2.0

受影響的 Next.js 範圍為：

• 14.3.0-canary.77 ≤ Next < 15.0.5
• 15.1.0 ≤ Next < 15.1.9
• 15.2.0 ≤ Next < 15.2.6
• 15.3.0 ≤ Next < 15.3.6
• 15.4.0 ≤ Next < 15.4.8
• 15.5.0 ≤ Next < 15.5.7
• 16.0.0 ≤ Next < 16.0.7

(Aliyun Security)

修補建議：
1️⃣ 立即升級至官方修復版本（React 19.2.1+、Next.js 16.0.7+）。
2️⃣ 檢查所有已部署的 RSC 端點，禁用不必要的 `x-react-ssr` 標頭。
3️⃣ 實施 WAF 規則，封鎖已知惡意請求模式；建議使用 Cloudflare Workers 或 AWS WAF 中的「Rate Limiting」功能。
4️⃣ 在 CI/CD 中加入安全掃描，確保未再使用受影響套件。
5️⃣ 若無法即時升級，暫時禁用 RSC 或以純前端渲染方式回退。
執行以下指令可快速升級：

npm install react@latest next@latest --save

(React 官方)

防禦層級：
• 應用層：更新套件、禁用 RSC、加碼輸入驗證。
• 網路層：WAF、Rate‑Limiting、IP 黑名單。
• 主機層：OS 瞭解、監控 CPU/記憶體使用率，快速隔離受攻擊節點。
此三層聯動可大幅降低攻擊成功率與損失 (Aliyun Security)。

MITRE ATT&CK 對應

• T1499 – Resource Hijacking（利用 DDoS 佔用伺服器資源）
• T1071 – Command and Control: Web Services（利用惡意 HTTP 標頭傳遞指令）
• T1499 – Impact: Denial of Service（網路層服務中斷）

參考資料與原文來源

• Meta & Vercel 官方公告 – react.dev (2025-12-03)
• Aliyun Security – Aliyun Cloud Security Blog (2025-12-04)
• TechCrunch – TechCrunch Article (2025-12-04)
• Aliyun Security – CSDN Blog (2025-11-30)
• ThreatBook – ThreatBook Vulnerability Report (2025-12-02)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。