吳明宜上周發生大規模短暫停機,造成大量網站及線上平台出現 500 Internal Server Error 的錯誤訊息斷線。這間網際網路基礎架構公司將原因歸咎於針對 React Server Components 一個已遭攻擊的重大遠端程式碼執行 (RCE) 漏洞實施緊急措施所致。
Cloudflare 技術長 Dane Knecht 說明,問題並非直接或間接出於 Cloudflare 系統攻擊或惡意活動,而是因為他們試圖偵測和減緩 React Server Components 漏洞災害時,變更其主體解析邏輯所致。
這是 Cloudflare 繼 11 月 18 日長達 6 小時斷線事件後的第二次斷線,所幸只歷時約半小時。該公司估計,這部分受影響的客戶流量約佔所有 Cloudflare 負責 HTTP 流量的 28% 。
React 漏洞又稱 React2Shell,編號 CVE-2025-55182,出在其 Flight 協定中,影響 React Web 和原生使用者介面,以及獨立 React 框架如 Next.js 、 React Router 、 Waku 等的開原 JavaScript 函式庫。這個漏洞能讓未經授權的攻擊者傳送 HTTP 請求到 React Server Functions 端點濫用漏洞,而在 React 和 Next.js 應用執行任意程式碼。這個漏洞的 CVSS 風險評分高達 10.0,影響 React 19.0 、 19.1.0 、 19.1.1 和 19.2.0 版本。
雖然 React2Shell 漏洞攻擊影響層面不若預期地廣,但 AWS 安全研究人員發現有多個和中國有關的駭客組織,包括 Earth Lamia 和 Jackpot Panda,在 React2Shell 漏洞揭露後數小時已經開始濫用。而且英國國家健康服務署 (National Health Service, NHS) 網路安全運作中心 (Cyber Security Operations Centre, CSOC) 也警告網路上流傳多個相關的概念驗證程式。
Cloudflare 該次 6 小時斷線致使 ChatGPT 、 X 、臉書等服務用戶一片哀嚎,該公司執行長 Matthew Prince 形容是 2019 年以來最嚴重,也是該公司一次內部安全性作業出錯引發。 Cloudflare 六月也發生了一次斷線,並連累 Google Cloud 在內等服務。