軟體開發界的一個基本原則是，程式碼在伺服器端運行時，必須受到最嚴格的信任與安全保護。然而，一個潛在的災難性漏洞最近被發現並修復於React的核心組件中，對整個JavaScript和Node.js開發生態系統敲響了警鐘。該漏洞位於React伺服器元件（RSC）的基礎設施中，其嚴重性被評為最高級別，允許未經身份驗證的攻擊者在應用程式伺服器上執行遠端程式碼（Remote Code Execution, RCE），這種能力在資安風險中被視為最危險的攻擊類型之一，因為它賦予了攻擊者對目標系統的完全控制權。

React 開發團隊週三發出警告，React 伺服器元件 (RSC) 中存在一個嚴重漏洞 (CVE-2025-55182)，未經身份驗證的攻擊者可能利用該漏洞在應用程式伺服器上執行遠端程式碼。該最高嚴重性漏洞由 Lachlan Davidson 私下報告，目前已修復。截至目前，尚無公開報告顯示攻擊者利用該漏洞，也未發現已證實的公開 PoC 攻擊代碼（至少目前如此）。[CVE-2025-55182 可能允許]未經驗證的攻擊者[建構]向任何伺服器函數端點發送惡意 HTTP 請求，該請求在 React 反序列化後可在伺服器上執行遠端程式碼。即使您的應用程式沒有實現任何 React 伺服器函數端點，但如果您的應用程式支援 React 伺服器元件，則仍可能存在此漏洞。React 伺服器元件 (RSC) 是一項允許 React 應用的部分程式碼在伺服器端而非瀏覽器端運行的功能。 RSC 於 2024 年底在 React v19 版本中推出。CVE-2025-55182（也稱為「React2Shell」）是 React Server Components 19.0.0、19.1.0、19.1.1 和 19.2.0 版本中的一個不安全反序列化漏洞，涉及以下軟體包： react-server-dom-parcel、react-server-pack-m-server-ra-pack-ra-server-pack-ex-pack-server-ra-pack-im-imdom-pack、dom-web-server-pack-B-server-ra-pack-ra-server-ra-pack-ra-server-ra-pack-server -ra-pack-ra-server-ra-pack-im-imdom-Ppackg-server-ra-pack-im-imdom-packg-packg- server-ra-packg-server-ra-pack（此處套件名稱可能存在排版錯誤，實際應指相關的 react-server-dom-* 等核心套件），該漏洞已在 React v19.2.1中修復。該漏洞還會影響其他依賴 React 或包含易受攻擊的 React 套件的框架和軟體包：Next.js、React Router、Waku、Redwood SDK、Expo、Vite、Parcel 等。

此漏洞被命名為「React2Shell」，直接點出了其RCE的本質。其技術根源在於不安全反序列化（Insecure Deserialization）。在RSC架構中，資料需要在伺服器和客戶端之間傳輸，反序列化過程是將傳輸的資料轉換回應用程式物件的關鍵步驟。如果伺服器未能正確驗證輸入資料的安全性，攻擊者便可構造惡意資料結構，在反序列化時欺騙應用程式執行預期之外的程式碼或命令。即使應用程式沒有明確實現任何React伺服器函數端點，但只要其基礎設施支援RSC功能，相關的易受攻擊套件便會被引入，從而暴露於風險之下。這也解釋了為何Next.js、Waku、Redwood SDK等高度依賴RSC的熱門框架均受到牽連。對於廣大的Node.js開發社群而言，鑒於此漏洞能被未經驗證的攻擊者利用，且無需任何使用者交互，其修補工作具有絕對的緊急性。開發者應將升級到React v19.2.1作為最高優先級任務，並應同時檢查和更新所有間接依賴了受影響React套件的框架版本。雖然目前尚未出現公開的PoC攻擊代碼，但最高嚴重性漏洞一旦被公開利用，可能導致大規模的伺服器入侵和數據洩露，故必須採取預防性緊急措施。此事件也提醒開發者，即使是高度信任的框架，其底層架構的創新功能（如RSC）也可能引入新的、難以預測的嚴重安全風險。