臺灣資安業者戴夫寇爾近日舉辦年度研討會,其中一場聚焦解析參與React2Shell相關漏洞獎勵計畫的實務經驗,我們意外得知臺灣研究人員當時也出力幫忙,並獲得獎勵。
由於當時React2Shell報導多聚焦攻擊事件揭露,防禦層面的動向較少被注意到,這次戴夫寇爾研討會上恰巧談及這方面的處理狀況,剖析了React伺服器端元件的運作原理,React2Shell漏洞的觸發利用手法,並且詳細公開其通報WAF繞過手法的實戰經驗。
令人意外的是,臺灣的資安研究人員也貢獻心力幫忙,特別是雲端業者Vercel為應對React2Shell漏洞緊急舉辦Vercel平臺保護的漏洞獎勵計畫,臺灣研究人員更從中獲得30萬美元獎金,這也印證出,臺灣資安研究人員不僅具備世界頂尖的漏洞挖掘實力,更在國際級的資安危機中扮演了關鍵的聯防角色,從第一時間發布PoC示警,到後續以驚人的效率協助Vercel完善WAF防禦規則,協助其開發者爭取到寶貴的修補時間。
為了緩解React2Shell危機,臺灣研究人員也擔任重要聯防角色
在這場演說中,兩位臺灣研究人員Ginoah與Maple分享其參與React2Shell漏洞應對的經歷,同時指出此事件背後仍有更多聯防機制正在運作。
這場危機中,臺灣研究人員採取哪些行動?
第一,在React2Shell漏洞公開後,隔日首個React2Shell概念驗證攻擊(POC)就是由戴夫寇爾人員所發表,這也顯示他們對此漏洞風險的看重。再隔一天,通報此漏洞的研究人員Lachlan Davidson也揭露原始PoC概念驗證攻擊。
第二,在漏洞公開3日後,雲端平臺業者Vercel於HackerOne平臺上,推出以「React2Shell、WAF繞過」為題的超高金額漏洞獎勵計畫(Bug Bounty),每個高風險漏洞2.5萬美元,每個重大漏洞5萬美元。臺灣研究人員展現實力,首個繞過手法在Bug Bounty啟動後僅5分鐘內即發現並通報,由於獎金豐厚,研究人員的發現動作又夠快,Ginoah在這場演講直言:「這是我人生最接近一秒鐘幾十萬上下的時刻」;短短2小時內,他們更是接連提交3項繞過手法,後續更是提交越來越複雜的繞過技術。
最終,兩人總計通報10個漏洞,其中6個視為有效,進而獲得30萬美元(約1,000萬元)的獎勵,協助Vercel在短時間內更新防護規則以阻擋React2Shell攻擊。
為何Vercel大手筆祭出高達3,000萬元的漏洞獎勵計畫?
上述提到臺灣研究人員參與Vercel舉辦的「React2Shell繞過WAF」漏洞獎勵計畫,亦成為我們關注的重要焦點。因為這讓外界更關注到,在推動用戶修補漏洞的同時,資安生態系也針對修補空窗期展開協調揭露與WAF緩解行動,而且竟然有業者為了在極短時間內強化對應React2Shell漏洞攻擊的WAF攔阻效果,舉辦為期不到10天的漏洞挖掘競賽,並發出總額高達100萬美元(約3,200萬元台幣)的獎金。
如此驚人的獎金規模與密集的時程,在資安界實屬罕見;而前述提到的臺灣研究人員,正是因參與此活動而抱走30萬美元的高額獎金。
若與其他指標性的漏洞獎勵計畫相比,Google最近剛好揭露了2025年全年度發出的獎金總額為1,700萬美元,而Vercel僅在短短10天內就發出100萬美元,足以顯見該公司對強化此漏洞威脅緩解的急迫性與高度重視。
為何Vercel願意祭出如此高額獎金?核心原因應在於React2Shell漏洞直接衝擊了以React伺服器端元件實作的Next.js。臺灣研究人員Ginoah表示,Vercel這家公司就是開源專案Next.js維護者,同時Vercel本身也有提供雲端平臺服務,因此他們的目的就是設法在客戶還沒完成更新React/Next.js前,透過WAF暫時保護其服務。
Vercel Bug Bonutry.jpg)
我們進一步檢視Vercel於2025年12月中發布的部落格文章,當中說明了React2Shell漏洞獎勵計畫成果。
之所以祭出高額獎金,Vercel技術長Malte Ubl指出,這不只是為了激勵白帽駭客,同時希望能將那些本來就在探測系統漏洞的人,轉化為共同強化安全的合作夥伴。最終,這項計畫共吸引116名研究人員提交156份報告,成功驗證38項弱點,並針對20種繞過技術發放100萬美元獎金。而且Vercel也將這些通報的技術細節,同步分享予其他平臺供應商。
至於緩解成效?Vercel指出其防火牆在兩週內已成功攔截逾600萬次針對Next.js漏洞的攻擊嘗試。其中有一波攻擊相當猛烈,24小時內攔截量即達230萬次。
Vercel Bug Bonutry.jpg)
對於這次React2Shell漏洞危機,Vercel技術長Malte Ubl除感謝Lachlan Davidson負責任地揭露React2Shell外,也深入總結Vercel的學習經驗與後續防禦藍圖。
「在React2Shell被負責任地揭露後,隨即進入攻防兩方比拼速度的時刻。」Vercel技術長Malte Ubl指出,考慮到惡意攻擊者會搶先行動並嘗試利用,因此他們與業界夥伴如AWS、Google、Microsoft、Cloudflare、Netlify、Fastly、Deno等合作,在正式公開前便預先透過WAF部署第一道防線的緩解措施,並呼籲用戶必須儘速完成修補。
儘管已部署初步緩解措施,但面對攻擊者的嘗試利用,Vercel在這次事件應對中,最特別的動作就是──沒有等著「防範React2Shell的WAF規則」被攻擊者繞過,而是決定掌控修補週期,在漏洞公開僅3天後就徵求全球頂尖資安專家挑戰WAF繞過手法,讓他們先替Vercel找出這些繞過方式,提前封堵潛在的繞過途徑。例如,Vercel在漏洞獎勵計畫啟動後48小時內,就完成了多達20次的防禦規則更新。
Malte Ubl在總結經驗時指出,縱深防禦雖能為企業爭取應變時間,但真正要讓該漏洞不會被利用,最根本解法仍在於完成修補。
他並坦言,React2Shell以過去難以模擬的方式測試了Vercel本身的安全基礎建設,而這些應對方式也留下寶貴的經驗。例如,研究人員在這次漏洞獎勵計畫提供的繞過方法,現已轉化為Vercel防火牆過濾的永久規則;同時Vercel還部署了第二層防禦,這項執行期(runtime)緩解層是在應用程式內部運作,而非位於WAF層。因此可不依賴啟發式偵測,而是直接消除攻擊所針對的程式碼評估向量。此外,過程中協助客戶升級的工具與機制,也成為未來Vercel面對重大CVE漏洞的標準化應變劇本。
綜合來說,Vercel在React2Shell漏洞因應的表現上,體現了現代雲端服務商的主動防禦思維。在各大CDN、雲端、WAF業者同樣都在協助提供緩解作法建立各自的WAF規則之下,Vercel選擇打破封閉開發的傳統,藉助全球頂尖資安專家之力,搶先幫忙找出可能的WAF繞過手法,提升自家平臺在緩解能力的水準,提供了極具參考價值的主動防禦經驗。
去年底React2Shell漏洞威脅影響有多大?
回顧React2Shell漏洞(CVE-2025-55182),最早於2025年11月29日被通報,此漏洞是由研究人員Lachlan Davidson透過Meta漏洞獎勵計畫通報,隔日Meta資安研究人員確認了漏洞,並開始與React團隊合作開發修復方案。
React團隊於12月1日完成修補方案的開發,並與受影響的託管服務商及開源專案合作,以驗證修復程式、實施緩解措施並逐步推送更新。到了12月3日,修補更新釋出且CVE編號正式對外公開。
由於各種以React伺服器端元件實作的框架或工具都受影響,包含廣泛使用的Next.js框架,加上該漏洞是CVSS滿分10分的漏洞,且觸發方式容易,攻擊者只需發送特製的HTTP請求,即可在伺服器上執行惡意指令,因此備受各界關注。
嚴峻的是,漏洞修補發布沒多久,攻擊活動真的出現。有多家資安業者與機構警告React2Shell已遭積極利用,Google後續亦揭露又有新出現的5組中國國家級駭客試圖利用,而且持續有更多國家級駭客加入攻擊行列,試圖入侵未修補的系統。
當時業界是如何因應?React團隊在公告之初即表示,在漏洞公開前,已與全球大型主機代管服務業者進行協調與資訊披露。
大型雲端業者亦相繼發布防禦指引,包括AWS、Google Cloud、Microsoft Azure等。這些指引主要在於呼籲企業用戶,需盡速更新React/Next.js應用程式,同時也提供修補之際的緩解作法,也就是透過提供網頁應用程式防火牆(WAF)規則,藉此阻擋攻擊,作為緩解之道。事實上,開發者面臨最大的問題在於:軟體升級或漏洞修補都需要時間。
面對React2Shell漏洞危機,為何這些業者強調WAF能爭取更多修補時間?因為WAF運作在網路的最外圍,若能針對React2Shell的攻擊特徵(Payload)進行攔截,就像在大門口先加裝一道臨時鎖,或是讓WAF扮演虛擬補丁的角色,在面對大規模攻擊嘗試時,可為受影響的開發團隊爭取更充裕的修補緩衝期,以進行版本升級與相容性測試。
換言之,由於React2Shell漏洞根植於組件底層,程式碼修補仍是最終的根治手段,而藉助WAF增加對應React2Shell攻擊活動的規則,目的就是盡量避免在修補就緒前遭受攻擊,主要是填補從「漏洞公開」到「修補完成」之間的風險空窗期。
