• 發布單位:TWCERT/CC
• 更新日期:2025-12-16
• 點閱次數:288

Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。

CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。

影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。

攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。成功攻擊後，攻擊者可能完全掌控伺服器，包括竊取資料、植入惡意程式（例如挖礦程式或後門），甚至將設備納入殭屍網路。

主要風險：漏洞之所以極具威脅性，在於其具備「遠端」與「零權限」攻擊特性，攻擊者無需取得任何帳號或進行複雜前置步驟即可入侵，大幅提高攻擊成功率並對企業資產造成直接衝擊。

GTIG 已確認多起針對 CVE-2025-55182 的攻擊事件，並在部分案例中觀察到攻擊者成功部署 XMRig 密碼貨幣礦工。GTIG 的調查顯示，至少有一起攻擊可明確歸因於其追蹤的駭客組織 UNC6584。此外，外部情資也顯示本次活動可能與另外兩個團體有關，分別為 UNC5454（Earth Lamia） 與 UNC3569（Jackpot Panda）。然而，GTIG 目前的主要證據仍集中指向 UNC6584，其參與度最為明確。

目前網路上已存在多個功能性的合法遠端程式碼執行（RCE）利用程式碼。更重要的是，GTIG 觀察到先前被視為「虛假」的公開 PoC 程式碼庫正不斷被更新並加入真正的 RCE 攻擊能力，因此企業絕不應輕忽其當前威脅。GTIG 的監測活動，包括在 AWS 和 GreyNoise 蜜罐中掌握到的利用實例，證實了攻擊者正積極且實際地利用此漏洞。

建議企業應儘速完成漏洞更新，並同步強化防護與監控措施，以降低遭受攻擊的風險。以下提供主要因應建議：

1. 立即修補

• 建議所有使用 React 的組織立即升級至 React 19.2.1。
• 使用 Next.js 的環境應盡速更新至官方提供的最新修補版本。

2. Google Cloud 防護措施

• Google Cloud 用戶可啟用新版 Cloud Armor WAF 規則 cve-canary，作為前線防護，減少遭受攻擊成功的風險。

3. 持續監控與威脅偵測

• 建議安全團隊加強監控主機與服務紀錄，特別是檢查是否出現未經授權的 XMRig 部署、異常 CPU 使用率、可疑網路連線或其他可能的入侵跡象。