事件核心:核心系統的「最高級別致命缺陷」
此漏洞存在於常用的網頁應用程式開發技術ReactServerComponents(RSC)的核心通訊協定中。此漏洞的危險等級為最高級別10.0。
這個漏洞有多嚴重?
零門檻攻擊:駭客不需要知道帳號密碼(未經身份驗證),即可利用這個漏洞發動攻擊。
結果最糟:駭客一旦攻擊成功,就能在網站或服務的伺服器上執行任何程式碼,完全奪取伺服器的控制權。
受影響範圍廣:目前有眾多基於React19或使用如Next.js等知名框架建立的網站服務,都會受到威脅。
風險結論:如果網站或應用程式使用了受影響的技術且尚未修補,伺服器、資料和用戶隱私非常危險,目前資安設備還無法防範。
緊急應對措施:IT/廠商/開發人員請立即評估更新執行!
受影響產品:
ReactServerComponents相關套件(如react-server-dom-webpack,react-server-dom-parcel,react-server-dom-turbopack)的版本19.0.0到19.2.0。
包含以下套件的熱門框架(例如:Next.js14.3.0-canary.77及更高版本)。
解決方案:
立即升級相關套件至官方已修補的版本,例如19.0.1、19.1.2或19.2.1。
若使用Next.js或其他框架,請按照官方指引進行升級或降級至穩定版本。