Cloudflare 服务中断源于紧急部署 React2Shell 漏洞补丁

Cloudflare 的全球网络今天早上经历了一次短暂但广泛的中断，持续约 25 分钟，原因是为了应对 React Server Components 中的一个关键漏洞，对其 Web 应用程序防火墙的内部变更。

该事件始于格林尼治标准时间约 8:47，影响了 Cloudflare Dashboard、API 以及代理服务，导致全球无数网站（包括 Coinbase、Anthropic 的 Claude AI、Zerodha 和 Groww 等高知名度平台）出现 500 内部服务器错误。

Cloudflare 的状态页面确认，此次中断源于对其 WAF 解析传入请求方式的修改。这些修改是为了紧急缓解 CVE-2025-55182，这是一个被命名为“React2Shell”的最高严重性远程代码执行漏洞。

该漏洞于 12 月 3 日披露，利用了 React Server Components “Flight” 协议中的不安全反序列化，使得未经身份验证的攻击者能够通过向服务器功能端点发送恶意的 HTTP 请求来执行任意代码。

受影响的版本包括 React 19.0 至 19.2.0，以及 Next.js、React Router、Waku 和 RedwoodSDK 等框架。

补丁部署一度适得其反，导致 Cloudflare 的网络暂时不可用，之后工程师将其回滚，并在 UTC 时间 9:20 恢复了服务。

“这不是一次攻击；该变更是由我们的团队部署，旨在帮助缓解全行业范围内的漏洞，”该公司在上午发布的多份更新中声明。Cloudflare 已于 12 月 2 日主动部署了 WAF 规则来阻止攻击，自动为所有客户（包括免费计划）的代理流量提供了保护。在中断发生前，未通过这些规则检测到任何攻击尝试。

React2Shell 已引起现实世界的关注，AWS 报告称，在漏洞披露后数小时内，与中国有关联的组织如 Earth Lamia 和 Jackpot Panda 已开始利用该漏洞。

概念验证攻击代码已广泛流传，促使各方紧急建议修补至 React 19.2.1 及更新的 Next.js 版本。Rapid7 等机构警告，即使应用程序没有显式的服务器功能，如果支持 React Server Components，也可能面临风险。

这是 Cloudflare 几周内的第二次重大故障，此前 11 月 18 日曾因机器人管理功能错误导致中断，6 月也发生过影响 Zero Trust 服务的事件。

CEO Matthew Prince 此前称 11 月的事件是“自 2019 年以来最严重的一次”。Cloudflare 确保服务已完全恢复并持续监控，同时敦促 React 用户立即更新。