React2Shell 漏洞：React/Next.js 遠端程式碼執行風險與應對方案

React2Shell 漏洞（CVE-2025-55182）是一個嚴重的遠端程式碼執行（RCE）漏洞，影響了 React Server Components 及其相關工具包。此漏洞允許攻擊者通过不安全的反序列化操作在未經身份驗證的情況下執行遠端程式碼。受影響的版本包括 React 19.0.0、19.1.0、19.1.1 和 19.2.0，以及相關的 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack 工具包。

漏洞概述

React2Shell 漏洞的核心問題在於 Server Function 端點對 HTTP 请求中的 payload 進行不安全的反序列化操作。這使得攻擊者可以通过精心構造的 HTTP 请求來執行遠端程式碼，從而完全控制受影響的服務。由于該漏洞存在於預認證階段，攻擊者無需任何身份驗證即可利用。

影響範圍與風險

React 作為現代 Web 开發的“默認底座”，廣泛應用於各大知名網站和應用程式，如 Facebook、Instagram、Netflix、Airbnb 等。由於其廣泛的使用範圍，這個漏洞的影響範圍非常廣泛。根據 Wiz Research 的報告，39% 的云環境包含存在 CVE-2025-55182 漏洞的 Next.js 或 React 實例，估計有超過兩百萬台服務器受到影響（Wiz Research）。

• 受影響的版本包括：
  • React：19.0.0、19.1.0、19.1.1 和 19.2.0
  • 相關工具包：react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack

漏洞利用情況

自從 React2Shell 漏洞被披露以來，已經有多起利用該漏洞的事件被觀察到。例如，RondoDox 木馬已被觀察到利用這個漏洞感染 Next.js 伺服器，安裝惡意軟體和加密採礦程式（Vulmon）。此外，Amazon Threat Intelligence 和 Datadog 等安全公司也報告了該漏洞在野外的利用情況（Wiz Blog）。

應對方案

為了應對 React2Shell 漏洞，企業應立即採取以下措施：

立即升級

React 和 Next.js 團隊已發布緊急安全更新，修補此漏洞。企業應立即升級到最新版本，以避免受到攻擊。

檢查和修補

檢查所有使用受影響版本的 React 和 Next.js 實例，並進行必要的修補。特別是那些暴露在公網的服務，應優先進行檢查和修補。

部署安全措施

部署額外的安全措施，如 Web 應用防火牆（WAF）和入侵檢測系統（IDS），以監控和阻止可能的攻擊行為。

定期審計和測試

定期進行安全審計和測試，確保所有系統和應用程式免受已知和未知的漏洞影響。使用自動化工具和手動測試相結合，全面覆蓋所有潛在的安全風險。

結論

React2Shell 漏洞的發現和利用再次提醒我們，即使是最受信賴的開發框架也可能存在嚴重的安全漏洞。企業必須保持高度警惕，及時更新和修補系統，並採取綜合的安全措施來保護其資訊資產。只有這樣，才能在不斷變化的威脅環境中，確保企業的安全和穩定運行。

參考資料與原文來源

• 🔗 原文來源: CVE-2025-55182 – Pre-Authentication Remote Code Execution in…
• 🔗 原文來源: 漏洞信息(CVE-2025-55182) – by 漏洞平台
• 🔗 原文來源: React2Shell (CVE-2025-55182): Critical React Vulnerability | Wiz Blog
• 🔗 原文來源: Next.js RCE(CVE-2025-66478/CVE-2025-55182) – 腾讯云
• 🔗 原文來源: 10级漏洞刚补完，React又炸了！现代Web“默认底座”因一行代码缺失 …

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。