Cloudflare WAF 主動防護 React 漏洞
Cloudflare 已經部署了一項新的保護措施來應對 React Server Components(RSC)中的漏洞。所有 Cloudflare 客戶,包括免費和付費用戶,只要其 React 應用程式流量透過 Cloudflare 網頁應用防火牆(WAF)代理,均可自動受到保護。值得注意的是,Cloudflare Workers 本身對此漏洞具有免疫力,因此基於 Workers 部署的 React 應用程式不受影響。
更新建議
雖然我們的 WAF 已經設計來檢測和阻止此漏洞,我們仍然強烈建議客戶立即將系統更新到最新版本的 React。
漏洞詳情
Cloudflare 收到安全合作夥伴的警報,指出一個遠端代碼執行(RCE)漏洞影響了 Next.js、React Router 及其他 React 框架(安全公告 CVE-2025-55182,評級 CVSS 10.0)。特別是在 React 版本 19.0、19.1 和 19.2,以及 Next.js 版本 15 到 16 中發現了不安全的反序列化問題,可能導致 RCE。
新規則部署
因此,Cloudflare 在其網絡上部署了新規則,默認操作設定為阻止。這些新保護措施包括在 Cloudflare 免費管理規則集(適用於所有免費客戶)和標準 Cloudflare 管理規則集中(適用於所有付費客戶)。有關不同規則集的更多信息,請參閱我們的文件。
規則 ID
- 管理規則集:33aa8a8a948b48b28d40450c5fb92fba
- 免費規則集:2b5d06e34a814a889bee9a0699702280
專業、商業或企業方案的客戶應確保已啟用管理規則,免費方案的客戶默認已啟用這些規則。我們建議客戶更新到最新的 React 19.2.1 和最新版本的 Next.js(16.0.7、15.5.7、15.4.8)。
未來展望
Cloudflare 的安全團隊已與合作夥伴合作,識別各種攻擊模式,並確保新規則有效防止任何繞過。在未來幾個小時和幾天內,團隊將持續監控潛在的攻擊變化,並根據需要更新我們的保護措施,以確保所有透過 Cloudflare 代理的流量得到安全保障。