多家WAF業者協助緩解React2Shell，防禦挑戰浮現、用戶修補亦是關鍵

在講者的故事中，大家才知道這項合作並非理所當然，而是雲端平臺業者Vercel用100萬美元獎勵徵求全球頂尖資安專家挑戰其WAF（網站應用程式防火牆），希望搶先找出攻擊者可能繞過資安系統阻擋機制的手法，以迅速更新WAF規則，進一步提升抵禦潛在React2Shell攻擊的有效性。

Vercel積極更新WAF規則的行動，深刻揭示了資安防禦的現實：在「漏洞揭露與修補釋出」到「用戶完成修補」之間的風險空窗期，WAF規則成了緩解攻擊路徑的關鍵臨時防線。為此，我們向多家WAF業者了解狀況，以確認WAF在這次漏洞攻擊協防過程扮演的角色，同時也希望從業者接觸客戶的經驗中，了解用戶是否都有修補React2Shell漏洞。

面對React2Shell漏洞威脅，WAF規則的確成為協防手段

根據我們最新從F5、Akamai等資安業者得到的回覆，他們同樣在React2Shell漏洞揭露之際，透過WAF規則來提供重要保護，並強調這只是一種臨時措施，根本之道仍是立即升級React與Next.js的版本。

提供網站應用與API防護（WAAP）解決方案的F5表示，在2025年12月4日提供針對React漏洞的額外緩解能力，透過經銷體系協助客戶部署，以便及早阻擋相關攻擊流量，後續並發表緩解React2Shell漏洞的案例研究。

對於WAF緩解規則的建立，F5指出，每一家廠商處理攻擊特徵的邏輯存在差異，各自有不同的偵測角度與特徵防護方式，同時需避免誤攔正常流量。

另一家提供CDN與WAAP防護服務的業者Akamai表示，該公司安全研究團隊也在分析React2Shell漏洞根因後，於漏洞公開當天宣布部署針對性規則及解決WAF bypass的規則，針對該漏洞攻擊特徵進行攔截，而且，在事發後的頭三天就持續發布快速規則更新（Rapid Rule Update）新版本。

對於規則的建立，Akamai強調，此類處置需深厚專業知識，非一般組織能獨立完成，並將相關處置即時通知客戶。他們另也指出，當時曾發現有攻擊者開始嘗試繞過WAF的保護，透過填充大量無效資料使Payload超出檢測範圍，因此也建議客戶執行自定規則，對包含RSC標頭的請求設定大小限制（如16KB），以進一步緩解新的繞過手法。

總結來說，這些現象反映出資安防禦的不容易。儘管緩解手段能有效填補修補前的空窗期，但外界仍需警惕攻擊者持續找出繞過手法。

另一個大家更關心的重點在於，React與Next.js用戶是否都已完成React2Shell的修補？

就F5的觀察，臺灣客戶幾乎都完成React2Shell的修補，畢竟這正是用戶對WAF在預防性防護的期待，但F5也坦言，仍有少數用戶至今未修補React2Shell漏洞。

我們認為這顯現了另一項長期存在的隱憂：即便資安業者、資安新聞不斷提醒相關攻擊活動頻傳，部分組織仍可能因某些內部考量，而未落實漏洞修補作業。並非如一般想像，所有用戶都能立即完成修補。這是誰的責任？接下來我們也進一步拆解漏洞因應上的整體聯防體系運作，幫助大家釐清其運作全貌。

出現業者為了協助緩解漏洞威脅，卻不慎影響到用戶的情形

另一衍生議題在於，這些雲端或WAF業者協助緩解威脅的過程中，頻繁更動防禦的邏輯，可能對系統的穩定性帶來潛在衝擊，也間接影響到用戶。

例如，另一家雲端網路與資安業者Cloudflare，曾在當時（2025年12月5日）發布消息，指出其部分網路出現約25分鐘的嚴重故障。事故主因在於：業者調整WAF解析邏輯以攔截React2Shell攻擊時，不慎發生問題，其後Cloudflare也表示採取3項行動改善，像是強化Rollouts與版本控制、精簡Break Glass緊急應變功能，引入Fail-Open（故障後自動開放）邏輯。我們也詢問該公司協助緩解漏洞所面臨的挑戰與狀況，目前尚未得到回覆。