漏洞攻擊
React Server Components 重大漏洞 CVE-2025-55182:資安團隊該知道些什麼
CVE-2025-55182 是一個重大的認證前遠端程式碼執行漏洞 (CVSS 10.0),所有 React.js、Next.js 及相關框架當中使用的 React Server Components 都受到影響 (請參閱以下說明來取得受影響框架的詳細清單)。
Save to Folio
主要重點:
CVE-2025-55182 是一個重大的認證前遠端程式碼執行漏洞 (CVSS 10.0),所有 React.js、Next.js 及相關框架當中使用的 React Server Components 都受到影響 (請參閱以下說明來取得受影響框架的詳細清單)。
- 未經認證的駭客只需一個 HTTP 請求就能全面入侵伺服器。
- Next.js (15.0.5+、15.1.9+、15.2.6+、15.3.6+、15.4.8+、15.5.7+ 或 16.0.7+)
- React (19.0.1+、19.1.2+ 或 19.2.1+)
- 若您無法立即修補,請盡可能停用 Server Functions (伺服器函式),並且部署 WAF 規則。
- 這項風險相當嚴重:資料外洩、勒索病毒、法規罰鍰,以及業務中斷等等全都有可能發生。
- 目前正在使用 React.js 19.x 或 Next.js 15.x/16.x 的企業應立即加以修補。
立即加以矯正,趨勢科技客戶請參考以下知識庫文章:https://success.trendmicro.com/en-US/solution/KA-0021831。
CVE-2025-55182 是什麼?
現代化網站有很多都靠 React 來執行,全球排名前 10,000 個網站當中有超過 40% 都採用 React 框架,因此 React 已成為企業應用程式、電子商務平台以及營運關鍵業務系統的骨幹。Facebook 的資安團隊在 2025 年 12 月 3 日揭露了 CVE-2025-55182 這個影響 React Server Components 的認驗前遠端程式碼執行漏洞。
CVE-2025-55182 是 React Server Components 在處理資料反序列化 (deserialization) 時的一個漏洞。此漏洞存在於處理酬載 (payload,也就是傳輸內容) 的核心解碼機制當中,此機制負責幫執行 React Server Components 的端點處理收到的 HTTP 請求。React 在將收到的請求轉換成伺服器端函式呼叫時,會將酬載資料反序列化,但卻沒有設置適當的資安控管,進而幫駭客建立了一條執行任意程式碼的直接途徑。
這個漏洞之所以特別危險,原因就在於它很容易使用:駭客不需要登入憑證,也不需要透過複雜的程序來攻擊系統弱點,只需發送一個特製的惡意 HTTP POST 請求到 Server Functions 端點就足以入侵目標伺服器。
受影響的套件包括:
- react-server-dom-webpack (19.0.0 至 19.2.0 版)
- react-server-dom-parcel (19.0.0 至 19.2.0 版)
- react-server-dom-turbopack (19.0.0 至 19.2.0 版)
此外,一些以 React Server Components 為基礎所打造的主流框架也受到影響,包括 Next.js (15.x 和 16.x 版)、React Router RSC APIs、Expo、Redwood SDK、Waku 以及各種 Vite 和 Parcel 擴充元件。
潛在衝擊
認證前遠端程式碼執行漏洞可說是駭客們追求的終極工具,CVE-2025-55182 可能讓駭客達成以下目的:
- 入侵基礎架構:駭客可能取得具備伺服器處理程序權限的遠端存取能力,這樣就能存取整個檔案系統、搜刮登入憑證,以及建立常駐機制。
- 資料外傳:客戶資料庫、API 金鑰、商業邏輯,或是智慧財產,都可能在基礎架構遭到入侵之後被駭客竊取。
- 橫向移動:遭到入侵的 React 伺服器將變成駭客進一步滲透網路的跳板,讓駭客攻擊內部系統、資料庫和/或雲端資源。
立即矯正步驟
如果您的企業正在使用受影響的版本,請立即矯正。
第 1 優先步驟:立即修補系統。請升級至以下版本:
- React 19.0.1+、19.1.2+ 或 19.2.1+
- Next.js 15.0.5+、15.1.9+、15.2.6+、15.3.6+、15.4.8+、15.5.7+ 或 16.0.7+
第 2 優先步驟:實施補救措施。如果無法立即修補漏洞,請考慮:
- 部署 WAF 規則來攔截可疑的序列化行為。
- 實施嚴格的網路輸出控管來防範反向指令列介面 (reverse shell)。
- 啟用所有 Server Functions 呼叫動作的完整記錄檔。
第 3 優先步驟:縱深防禦。良好的長期資安態勢需要:
- 以最低的權限執行 Node.js 處理程序。
- 將容器隔離並限制其功能。
- 採用執行時期應用程式自我防護 (RASP) 解決方案。
- 定期掃描並修補 JavaScript 相依元件的漏洞。
我們目前的觀察
Trend™ Research 與趨勢科技回應團隊自從該漏洞揭露以來便一直在積極監控這項漏洞。我們一直在分析監測資料、檢視資安社群分享的概念驗證 (PoC) 漏洞攻擊手法,以及開發給企業環境使用的偵測特徵。
我們已經觀察到駭客正在積極嘗試攻擊此漏洞,這些攻擊使用了資安社群分享的概念驗證程式碼,同時也使用了一些與 React2Shell (也就是 CVE-2025-55182) 無關的危險組態設定。我們的威脅回應團隊正在努力追蹤是否有任何利用 CVE-2025-55182 漏洞的有效攻擊嘗試。
金融服務、科技及電子商務領域的企業似乎都已遭遇到駭客的針對性偵查與漏洞攻擊嘗試。
我們如何提供協助
我們的資安團隊自從 CVE-2025-55182 被揭露以來便一直在追蹤該漏洞,並且開發偵測特徵、分析概念驗證漏洞攻擊手法,還有針對企業環境製作矯正指引。
我們可提供:
- 漏洞評估:透過快速掃描來發掘您基礎架構當中是否有受到影響的 React 部署環境。
- 偵測技術:提供針對您環境客製化的 IDS/IPS 規則,以便儘可能降低誤判。
- 事件回應準備度:開發專為解決 React Server Components 入侵問題的應變腳本 (playbook) 與程序。
- 矯正支援:提供有關修補策略的專家指引,盡可能減少業務中斷發生。