在現代雲端運算架構中，前端框架的安全性直接影響到後端伺服器的穩定性。近期，廣泛應用於網站開發的開源專案 React 爆發了一個 CVSS 評分高達 10.0 的關鍵漏洞，引起了全球資安界的高度警覺。該漏洞主要影響 React 的伺服器元件 (RCS) 協定，其潛在的危險性在於允許遠端程式碼執行（RCE），這對依賴此技術的企業和雲端服務提供商來說，是一個立即且嚴重的威脅，因為攻擊者可能藉此完全控制受影響的系統。

React中存在一個最高層級的漏洞，該漏洞可能導致大量雲端環境中的遠端程式碼執行 (RCE)，這引起了網路安全界的嚴重擔憂。React開源專案於週三披露了該漏洞，該漏洞被分配了兩個不同的 CVE 編號。第一個是CVE-2025-55182，它存在於 React 伺服器元件 (RCS) 協定中，由於反序列化不安全，該漏洞允許遠端程式碼執行 (RCE) 攻擊。第二個是 CVE-2025-66478，它反映了該漏洞對 Next.js 框架的下游影響。 這兩個 CVE 都獲得了 10 分的最高 CVSS 評分，如果被利用，會導致相同的結果；攻擊者可以建構對易受攻擊伺服器的惡意請求，由於反序列化問題，這些請求可以實現遠端程式碼執行 (RCE)。 React 團隊在針對 CVE-2025-55182 的公告中表示：“我們已與多家託管服務提供商合作，採取了臨時緩解措施。但您不應依賴這些措施來保護您的應用程序，仍需立即更新。”各組織應升級至 React 版本 19.0.1、19.1.2 和 19.2.1，以及 Next.js 版本 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7。

此漏洞的技術核心問題在於不安全的反序列化機制，使得惡意請求能夠被伺服器誤判並執行。鑑於此漏洞的嚴重性與廣泛的應用基礎，React 團隊已採取了積極的應對措施，包括與託管服務提供商合作部署臨時緩解措施。然而，官方嚴正警告所有使用者，這些措施僅為暫時性保護，不能取代必要的版本升級。為了徹底消除潛在的 RCE 風險，所有使用受影響版本的開發者和組織都必須盡速將其應用程式升級至指定的修補版本，這是確保應用程式及其所處雲端環境安全的最關鍵一步。

註：
React 是一個用於使用者介面的 JavaScript 函式庫，由 Facebook（現為 Meta）開發，並於 2013 年作為開源專案發布。在過去的十多年裡，該庫已被沃爾瑪等許多組織使用。 

資料來源：https://www.darkreading.com/vulnerabilities-threats/critical-react-flaw-triggers-immediate-action