廣受開發者青睞的開源JavaScript庫React曝露一項最高嚴重度漏洞，獲兩個CVSS 10分CVE編號，允許駭客透過惡意HTTP請求遠端執行程式碼（RCE），影響全球逾三分之一雲端環境。資安公司Wiz與Cloudflare緊急發布檢測規則與WAF防護，呼籲組織立即升級至React 19.0.1、19.1.2或19.2.1，以及Next.js相關版本。對台灣而言，React作為前端開發主流，逾80%電商與金融App依賴其Server Components（RSC）架構，此漏洞若遭利用，恐導致伺服器完全淪陷，洩露使用者資料或癱瘓服務。專家警告，台灣雲端市佔率高的AWS與Azure用戶首當其衝，資策會資安中心已發文企業，敦促於週末前完成修補，防範供應鏈攻擊的隱形危機。

 

React自2013年由Meta（前Facebook）開源以來，已成使用者介面建置的業界標準，從Walmart電商到Netflix串流，皆廣泛採用。其Server Components（RSC）功能允許伺服器端渲染，提升效能與SEO，但也埋下安全隱患。12月4日，React團隊發布公告，揭露CVE-2025-55182（RSC協議不安全反序列化）與CVE-2025-66478（Next.js下游影響），兩者均獲CVSS 10分滿分，意味著無需認證的遠端攻擊，即可觸發RCE。資安研究員Lachlan Davidson經Meta漏洞懸賞計劃通報，此缺陷僅數日內即獲修補，展現開源社群的快速反應。

Wiz研究團隊在部落格中強調，「此漏洞易利用性極高，我們實驗成功率近100%，僅需特殊HTTP請求，即可全RCE。」攻擊路徑簡單：駭客發送惡意請求至易受攻擊伺服器，反序列化過程解析不安全資料，執行任意程式碼。Wiz數據顯示，39%雲端環境受影響，涵蓋預設配置的熱門框架如Next.js。Cloudflare更主動於12月3日部署WAF規則，自動阻擋React應用流量中的利用嘗試。Cloudflare專案管理總監Daniele Molteni表示，「儘管WAF已防護，我們仍強烈建議立即更新—這是預設配置的致命弱點。」

 

React團隊公告指出，若應用無伺服器端程式碼，或未使用支援RSC的框架、打包器或插件，即不受影響。但對多數雲端部署，此門檻低：Next.js 15.x系列全版易受攻擊，需升級至15.0.5、15.1.9等安全版。團隊已聯絡受影響的託管供應商，施加臨時緩解，但強調「勿依賴此，立即更新為上策。」Meta工程師與React維護者合作驗證修補，展現產業韌性。

 

台灣衝擊不容小覷。根據資策會2025年開源調查，本地開發者逾90%用React建置Web App，Next.js佔比達60%，廣用於電商如momo、PChome與金融App如玉山銀行數位帳戶。雲端環境中，AWS Lambda與Azure Functions常整合RSC，若遭RCE，駭客可植入後門、竊取資料庫或橫移內網。趨勢科技台灣資安專家張裕敏表示，「此漏洞影響三分之一雲端，台灣AWS市佔逾50%，企業若延遲修補，等同邀請攻擊。」近期相關事件如廉價硬體繞過AMD/Intel記憶體加密，或Raptor框架用代理工作流自動修補，皆凸顯開源漏洞的連鎖效應。

 

Wiz發布預建檢測查詢，助組織掃描易受攻擊React實例；Cloudflare的WAF規則則即時阻擋，適用所有經其代理的React流量。Molteni提醒，「更新是根本，WAF僅為過渡。」React團隊已通知下游開源專案與雲端提供商，共同部署防禦。資安公司Palo Alto Networks台灣分公司預測，「2025年RCE漏洞將漲20%，React事件或引爆模仿攻擊。」

為防範，台灣企業可採以下措施：

 

數位發展部（數發部）資安署已發緊急通函，補助中小企業漏洞掃描工具，並與Meta台灣團隊聯繫，爭取本地修補指南。立委吳思瑤呼籲，「React漏洞凸顯開源依賴風險，政府應建國家SBOM平台，防範雲端RCE。」

 

React漏洞雖獲速修，卻暴露開源生態的脆弱：便利伴隨風險，雲端普及放大衝擊。Wiz研究員感慨，「高保真利用率，讓此成優先威脅。」在台灣數位轉型浪潮中，此事件是警訊：從被動修補，到主動治理。開發社群與企業聯手，強化框架安全，方能讓React從創新引擎，變成可靠堡壘，避免RCE成為數位災難的導火線。

 

 

出處：本新聞參考自Rob Wright於2025年12月4日發表於Dark Reading的報導《Critical React Flaw Triggers Calls for Immediate Action》。