React2Shell漏洞(CVE-2025-55182)揭露後不久,Cloudflare解釋說,其WAF(Web應用防火牆)的請求體解析過程發生變更,導致網路中斷。該WAF旨在偵測和緩解React伺服器元件的攻擊。這次中斷影響了約28%的HTTP流量,造成許多網站暫時無法存取和出現錯誤。但Cloudflare強調,這是因為配置變更造成的,並非網路攻擊。
同時,React2Shell 是一個遠端程式碼執行漏洞,CVSS 評分為 10.0,由 React 伺服器元件 Flight 協定中的不安全反序列化引起,據稱不僅影響 React,還會影響 Next.js 等基於 React 的框架。英國政府和美國網路安全與基礎設施安全局 (CISA) 已發出警告,該漏洞正在被惡意利用,世界各地的安全機構也迅速採取措施警告用戶,並將其添加到已知可利用漏洞目錄中。
根據AWS安全部落格報道,與中國有關聯的國家級駭客組織,包括Earth Lamia和Jackpot Panda,在React2Shell公開後的幾個小時內就開始進行掃描和入侵嘗試,展現了從初始入侵到獲取權限的典型步驟,例如竊取AWS憑證和安裝惡意軟體下載器。雖然研究人員Lachlan Davidson和maple3142已經發布了PoC(概念驗證),但也有人指出,市面上也存在大量虛假PoC,這會造成混亂,並給防禦者帶來虛假的安全感。
從: 
Cloudflare 將週五的服務中斷歸咎於 React2shell 修復程式存在問題。
【社論】
React2Shell 和 Cloudflare 服務中斷事件再次表明,前端技術不再只是“視覺層”,而是與整個互聯網的基礎設施風險直接相關。由於 React 和 Next.js 與伺服器端執行緊密相連,一種新的結構正在形成:庫層級的缺陷可以直接導致 Cloudflare 層級的網路攻擊,甚至引發國家級攻擊。
值得注意的是,Cloudflare 的服務中斷並非 React2Shell 攻擊所致,而是由於其 WAF 請求體解析流程的變更,旨在阻止 React2Shell 攻擊。長期以來,人們一直指出安全措施本身也會對可用性構成風險,但此次影響範圍如此之廣,約佔 HTTP 流量的 28%,也與該公司對 React 和 Cloudflare 等開源軟體和雲端基礎設施的高度依賴有關。
據報道,React2Shell 本身是 React 伺服器元件 (RSC) Flight 協定中的漏洞,由於反序列化不安全,允許在未經驗證的情況下執行遠端程式碼。它廣泛影響當前世代的技術堆疊,例如 React 19.x 和 Next.js 15/16.x(使用 App Router 時),並且各種分析指出,許多應用程式「甚至在不知情的情況下就受到了影響,而它們正在使用 RSC」。
國家級駭客組織的活動正在加速。 AWS報告稱,總部位於中國(與中國有關聯)的威脅組織,例如Earth Lamia和Jackpot Panda,在React2Shell發布後的幾個小時內就開始進行掃描和入侵嘗試。 Palo Alto Networks和其他供應商也觀察到了諸如AWS憑證被盜以及在多個行業的組織中安裝下載器等活動,這表明可能存在透過RaaS和初始訪問代理進行二次業務的情況。
這次事件也引發了關於資訊揭露本質的質疑。 React2Shell 的開發者和 React 團隊逐步發布了詳細資訊和 PoC(概念驗證),為防御者爭取時間,但有人指出,在此期間,大量虛假 PoC 和錯誤訊息被傳播,導致防御者難以製定正確的防禦規則和評估風險。 Radware 等人建議,“可信任的安全廠商和雲端服務供應商應該更快地共享完整信息,以便在全球攻擊開始之前分發防禦措施”,這凸顯了重新思考開源時代資訊揭露模式的必要性。
這則新聞不應僅被視為 React 的漏洞,而是對現代 Web 基礎設施面臨的三大結構性風險所發出的警告。首先,採用 React 或 Next.js 本身已成為一種基礎設施層面的風險選擇,而修補策略和監控設計正開始與產品的業務連續性直接掛鉤。其次,包括中國在內的一些國家級組織已經建立了標準化的系統,用於持續監控開源軟體生態系統的更新,並在數小時內將其轉化為漏洞程式。第三,它凸顯了防御者不能僅僅“等待補丁應用”,而應該建立一套“即時漏洞披露模式”的系統,將 Web 應用防火牆 (WAF) 規則、日誌分析和蜜罐檢測相結合。
從中長期來看,類似 React2Shell 這樣的事件預計將推動抽象伺服器執行模型(例如 RSC 和伺服器函數)向「安全預設值」設計演進。同時,React 層面的缺陷可能會對 Cloudflare 乃至整個雲端環境的流量產生連鎖反應,這一現實表明,開發人員和維運人員需要更加重視並預見互聯網(尤其是依賴開源軟體的互聯網)中潛在的單點故障。
[術語]
React2Shell (CVE-2025-55182)
這是一個 CVSS 10.0 級遠端程式碼執行漏洞,由 React 伺服器元件 Flight 協定中的不安全反序列化所引起。
React 伺服器元件 (RSC)
這是一種在伺服器端運行 React 元件並將結果傳送給客戶端的機制,將部分資料檢索和渲染工作卸載到伺服器端。
概念驗證(PoC)
這些是攻擊者和防禦者用來驗證漏洞是否真的可以被利用的驗證程式碼和程式。
勒索軟體即服務 (RaaS)
這指的是一種商業模式,在這種模式下,勒索軟體營運基礎設施被轉化為一項服務,允許其他攻擊者發動攻擊活動,以換取使用費或利潤分成。
初始訪問代理(IAB)
網路犯罪分子負責取得企業網路的存取權限和攻擊技術,並將其出售給其他攻擊組織。
已知已利用漏洞目錄 (KEV)
這是美國網路安全和基礎設施安全局 (CISA) 公佈的已確認被利用的漏洞列表,可作為聯邦機構確定應對措施優先順序的指標。
[參考連結]
React (外部)
這是主要由 Meta 開發的 JavaScript UI 程式庫的官方網站,同時提供有關 React 伺服器元件和其他技術的最新資訊。
Next.js (外部)
它是由 Vercel 開發的基於 React 的框架,是現代 Web 應用程式開發的官方門戶,配備了應用程式路由和伺服器功能。
Cloudflare (外部)
它是提供 CDN、WAF、DNS、零信任服務等雲端平台的官方網站,並轉送大量網路流量。
React2Shell.com (外部)
該資訊網站概述了 CVE-2025-55182 (React2Shell),包括其影響範圍、時間軸和應對措施,使用戶能夠輕鬆理解其技術背景。
[參考文章]
與中國有關的網路威脅組織迅速利用 React2Shell 漏洞 (CVE-2025-55182) (外部連結)
AWS 詳細介紹了中國網路組織如何快速利用 React2Shell,以及針對 AWS 環境的偵測和緩解措施和觀察到的攻擊模式。
CVE-2025-55182(React2Shell):React 伺服器元件中的遠端程式碼執行漏洞(外部)
這是一篇由 Datadog Security Labs 撰寫的技術分析文章,總結了 React2Shell 的技術結構、受影響的版本、攻擊場景和建議的偵測規則。
React 和 Next.js 中發現嚴重遠端程式碼執行漏洞 | Wiz Blog (外部連結)
Wiz 總結了 React2Shell 對 React 和 Next.js 的影響範圍、雲端環境中的風險,以及套用修補程式和審查設定的建議要點。
Cloudflare 將今天的服務中斷歸咎於 React2Shell 的緩解措施(外部連結)。
文章報導了 Cloudflare 為解決 React2Shell 問題而發布的緊急修補程式導致約 28% 的 HTTP 流量中斷,以及官方聲明稱這不是攻擊。
React2Shell漏洞利用蔓延,網路安全團隊保持警覺(外部)
世界各地的政府機構和安全廠商都已證實 React2Shell 被廣泛濫用,並敦促雲端和 SaaS 供應商應用修補程式並加強監控。
React2Shell漏洞:React伺服器元件中的最高嚴重性缺陷(外部)
SOC Prime 透過 React2Shell、攻擊鏈、IoC、Sigma 規則等的技術概述,為現實世界操作中的偵測和回應提供具體線索。
React 缺陷緩解措施導致 Cloudflare 服務中斷(外部)
本文總結了 React2Shell 的緩解措施如何導致 Cloudflare 服務中斷,並就揭露和防禦之間的平衡提供了專家評論。
[編者註]
在關注 React2Shell 相關新聞時,我意識到使用 React 和 Next.js 可以直接連接到全球各地的基礎設施。如果你把參與開發的服務堆疊寫出來,然後設想一下:“如果出現類似的零日漏洞,你會採取什麼措施?”,你或許會對你的設計和運維假設產生一些新的思考。我希望這篇文章能啟發你停下來思考。
