最近我們報導臺灣資安研究人員參與React2Shell相關漏洞獎勵計畫,協助Vercel在短時間內更新WAF防護規則,以阻擋React2Shell攻擊可繞過防禦規則的可能性,並獲得30萬美元(約近1,000萬元)的獎勵,這不僅展現臺灣資安研究人員的專業與高效率,在國際級資安危機扮演關鍵的聯防角色,也帶出一個問題:當一項關鍵漏洞衝擊全球開發框架時,整個資安生態系的聯防體系如何運轉?
或許有人會問,面對漏洞的因應,責任到底該如何認定?經我們盤點多方資訊後,可以歸納出一個結論:這場從漏洞發現、修補,到各方協助緩解、促進修補的應對過程,本質上是一場跨越各環節的防禦接力賽。
第一棒:核心修補與協調披露
以React2Shell而言,研究人員Lachlan Davidson在11月29日透過Meta漏洞獎勵計畫通報,隔日Meta資安研究人員確認漏洞後,React團隊也火速完成修補方案的開發,並在12月3日漏洞公開前,與相關生態系進行協調披露,以利在公開前部署緩解措施,為全球尚未及時更新程式碼的開發者與企業,建立起第一道緩衝防線。
第二棒:邊緣緩解與WAF的攻防拉扯
接下來,這場防禦接力賽交棒到防禦端的各個關卡,像是雲端業者、主機代管業者、CDN業者、WAF業者相繼透過虛擬補丁形式,運用WAF針對React2Shell的攻擊特徵(Payload)進行攔截,協助受影響用戶爭取到更充裕的修補緩衝期,以進行版本升級與相容性測試。
第三棒:風險盤點與通報鏈
在React2Shell漏洞修補釋出與邊緣防護運作的同時,企業既有採購的各類資安產品與服務,也會啟動各自的通報機制,形成另一條平行的情報鏈。例如,首當其衝的是企業建置的弱點管理系統、外部攻擊面管理平臺或SBOM分析工具,將透過管理儀表板警示、Email通報,甚至透過API或Webhook整合,提醒企業盤點受影響的資產。其他類型資安業者也可能同步示警,建議用戶儘速修補,像是雲端服務供應商、應用託管平臺、WAF等業者,還有SOC、EDR廠商除了在攻擊活動發生時要及時反映,漏洞揭露後同樣可能為了服務客戶,通知企業暴露於風險的狀況。
第四棒:漏洞修補的最後一哩路
最後還有另一重要關鍵:漏洞修補的最後一哩路,始終落在用戶身上。換言之,漏洞修補從來不是單一責任,而是一場與時間賽跑的聯防行動。
研究人員還可以持續關注哪些面向?
更進一步來看,對於受影響用戶而言,各環節是否確切落實,我們認為這將是研究人員可延伸探討的問題。
以上述第一棒的核心修補層面而言:在研究人員通報後,這次漏洞問題最關鍵的部分,是React開發團隊的產品安全事件應變,而修補品質將是一大考驗,因為過去曾有研究人員揭露廠商或維護者漏洞修補不全,導致可被繞過的情形。
以這起事件來看,確實有研究人員在檢視React2Shell(CVE-2025-55182)的修補後,發現仍有被繞過的可能,促使React開發團隊在修補發布後間隔一星期,又揭露3項新弱點,包括CVE-2025-55184、CVE-2025-67779、CVE-2025-55183,指出原先修補後的程式碼雖已封堵直接導致RCE的攻擊路徑,但在特定條件下,仍可能被利用導致DoS或資訊外洩等風險。其後在2026年1月,研究人員指出CVE-2025-55184的再修補仍有不足,React開發團隊又以CVE-2026-23864進一步修補。這也意味著,即使已完成初步升級的用戶,仍需持續更新至後續修補版本。
在第二棒的層面中,防禦緩解的成效,很大程度取決於WAF規則撰寫的精準度。像是近期我們報導Vercel透過漏洞獎勵競賽蒐集繞過手法、快速更新防護規則,正是為了持續優化這道防線,也讓外界更關注WAF在解析語義差異與複雜攻擊情境下的攻防拉扯。因此,各家WAF所提供虛擬補丁的強度與覆蓋能力,也成為企業用戶關注的重點,並可作為研究人員持續投入的方向。
至於第三棒的層面,相關資安工具與服務的通知,是否即時且能協助採取行動,仍是實務上值得持續檢視的環節。
當然,漏洞修補的最後一哩路始終落在用戶本身,若不修補,風險將會持續存在。除非像是半導體OT場域的機臺可停機時間極短,難以定期修補漏洞與系統更新,對於暫時無法修補的情境,企業則需搭配更嚴謹的多層次緩解措施,盡可能縮小攻擊面,並在風險承受與營運持續之間進行實務權衡。
