React2Shell 漏洞攻防實錄:Vercel 砸 $100 萬找全球駭客挑戰 WAF,台灣研究員參與協防
title: "React2Shell 漏洞攻防實錄:Vercel 砸 $100 萬找全球駭客挑戰 WAF,台灣研究員參與協防" date: 2026-03-29 source: https://www.ithome.com.tw/news/174704 category: articles tags:
- 資安
- React
- Next.js
- WAF
- 漏洞
- Vercel created: 2026-03-29 updated: 2026-03-29
React2Shell 漏洞攻防實錄:Vercel 砸 $100 萬找全球駭客挑戰 WAF,台灣研究員參與協防
原文摘要
DEVCORE 年度研討會揭露:台灣研究人員參與了 React2Shell 漏洞的因應。Vercel 為提升自保能力,砸 $100 萬美元獎勵徵求全球資安專家挑戰其 WAF,搶先找出繞過手法並更新規則。
React2Shell 漏洞背景
影響 React 和 Next.js 的重大漏洞。從「漏洞揭露」到「用戶完成修補」之間存在風險空窗期,WAF 規則成為緩解攻擊的關鍵臨時防線。
各大 WAF 業者的回應
F5
- 2025/12/4 提供針對 React 漏洞的額外緩解能力
- 透過經銷體系協助客戶部署
- 觀察:台灣客戶幾乎都完成修補,但仍有少數未修補
Akamai
- 漏洞公開當天就部署針對性規則
- 事發後頭三天持續發布快速規則更新
- 發現攻擊者嘗試繞過 WAF:填充大量無效資料讓 Payload 超出檢測範圍
- 建議:對包含 RSC 標頭的請求設定大小限制(如 16KB)
Cloudflare
- 調整 WAF 解析邏輯時不慎造成 25 分鐘的嚴重故障(2025/12/5)
- 事後採取 3 項改善:強化 Rollouts、精簡 Break Glass、引入 Fail-Open 邏輯
Vercel 的做法
- $100 萬美元 Bug Bounty 徵求全球頂尖資安專家
- 目標:搶先找出繞過 WAF 的手法
- 迅速更新 WAF 規則,提升抵禦 React2Shell 攻擊的有效性
核心觀點
1. 資安聯防比單打獨鬥有效
Vercel 公開號召外部研究員、WAF 廠商同步更新規則、DEVCORE 研討會分享經驗——這種開放式的聯防模式,比每個組織自己悶頭修補有效得多。
2. WAF 是「修補前的救命索」,不是解決方案
所有業者都強調:WAF 規則只是臨時措施,根本之道是升級 React 和 Next.js。但現實是仍有組織因內部考量未完成修補。
3. 防禦行動本身也可能造成故障
Cloudflare 在更新 WAF 規則時不慎造成 25 分鐘全網故障——提醒我們:緊急修補的品質控制同樣重要。
4. 攻擊者會即時適應防禦
Akamai 發現攻擊者在 WAF 部署後立即嘗試繞過(填充無效資料讓 Payload 超出檢測範圍)。資安是持續的攻防,不是部署一次就結束。