React爆高風險漏洞　影響極廣泛企業急修補

現代化網站有很多都靠React來執行，全球排名前10,000個網站當中有超過40%都採用React框架，因此React已成為企業應用程式、電子商務平台以及營運關鍵業務系統的骨幹。Facebook的資安團隊在2025年12月3日揭露了CVE-2025-55182這個影響React Server Components的認證前遠端程式碼執行漏洞。

CVE-2025-55182是什麼？

CVE-2025-55182是React Server Components在處理資料反序列化（Deserialization）時的一個漏洞。此漏洞存在於處理酬載（Payload，也就是傳輸內容）的核心解碼機制當中，此機制負責幫執行React Server Components的端點處理收到的HTTP請求。React在將收到的請求轉換成伺服器端函式呼叫時，會將酬載資料反序列化，但卻沒有設置適當的資安控管，進而幫駭客建立了一條執行任意程式碼的直接途徑。

這個漏洞之所以特別危險，原因就在於它很容易使用：駭客不需要登入憑證，也不需要透過複雜的程序來攻擊系統弱點，只須發送一個特製的惡意HTTP POST請求到Server Functions端點就足以入侵目標伺服器。

受影響的套件包括：react-server-dom-webpack（19.0.0至19.2.0版）、react-server-dom-parcel（19.0.0至19.2.0版）、react-server-dom-turbopack（19.0.0至19.2.0版）。

此外，一些以React Server Components為基礎所打造的主流框架也受到影響，包括Next.js（15.x和16.x版）、React Router RSC APIs、Expo、Redwood SDK、Waku以及各種Vite和Parcel擴充元件。

可能潛在衝擊

認證前遠端程式碼執行漏洞可說是駭客們追求的終極工具，CVE-2025-55182可能讓駭客達成以下目的：

‧入侵基礎架構：駭客可能取得具備伺服器處理程序權限的遠端存取能力，這樣就能存取整個檔案系統、搜刮登入憑證，以及建立常駐機制。

‧資料外傳：客戶資料庫、API金鑰、商業邏輯，或是智慧財產，都可能在基礎架構遭到入侵之後被駭客竊取。

‧橫向移動：遭到入侵的React伺服器將變成駭客進一步滲透網路的跳板，讓駭客攻擊內部系統、資料庫以及雲端資源。

立即矯正步驟

如果你的企業正在使用受影響的版本，請立即矯正。

第1優先步驟：立即修補系統。請升級至以下版本：React（19.0.1+、19.1.2+或19.2.1+）、Next.js（15.0.5+、15.1.9+、15.2.6+、15.3.6+、15.4.8+、15.5.7+或16.0.7+）。

第2優先步驟：實施補救措施。如果無法立即修補漏洞，請考慮：部署WAF規則來攔截可疑的序列化行為、實施嚴格的網路輸出控管來防範反向指令列介面（Reverse Shell）、啟用所有Server Functions呼叫動作的完整記錄檔。

第3優先步驟：縱深防禦。良好的長期資安態勢需要：以最低的權限執行Node.js處理程序、將容器隔離並限制其功能、採用執行時期應用程式自我防護（RASP）解決方案、定期掃描並修補JavaScript相依元件的漏洞。

分析監測及協助

自從該漏洞揭露以來，趨勢科技便一直在積極監控這項漏洞。持續分析監測資料、檢視資安社群分享的概念驗證（PoC）漏洞攻擊手法，以及開發給企業環境使用的偵測特徵。同時能提供企業以下協助：

‧漏洞評估：透過快速掃描來發掘自身基礎架構當中是否有受到影響的React部署環境。

‧偵測技術：提供針對自身環境客製化的IDS/IPS規則，以便儘可能降低誤判。

‧事件回應準備度：開發專為解決React Server Components入侵問題的應變腳本（Playbook）與程序。

‧矯正支援：提供有關修補策略的專家指引，盡可能減少業務中斷發生。

目前，已經觀察到駭客正在積極嘗試攻擊此漏洞，這些攻擊使用了資安社群分享的概念驗證程式碼，同時也使用一些與React2Shell（也就是CVE-2025-55182）無關的危險組態設定。趨勢科技的威脅回應團隊正在努力追蹤是否有任何利用CVE-2025-55182漏洞的有效攻擊嘗試。而金融服務、科技及電子商務領域的企業似乎都已遭遇到駭客的針對性偵查與漏洞攻擊嘗試。

＜本文作者：Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格，是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作，發掘消費者及商業經營所面臨層出不窮的資安威脅，進行研究分析、分享觀點並提出建議。＞