ช่องโหว่ React2Shell สุดอันตราย ความรุนแรง CVE ถึงระดับ 10 คะแนน!!
ช่องโหว่ React2Shell กำลังถูกพูดถึงอย่างร้อนแรงในวงการความปลอดภัย เพราะนี่ไม่ใช่บั๊กระดับทั่วไป แต่เป็นช่องโหว่ความรุนแรงสูงสุด CVSS 10/10 ที่เปิดโอกาสให้ผู้โจมตีสามารถยิงคำสั่งจากภายนอกเข้ามารันบนเซิร์ฟเวอร์ได้ โดยไม่ต้องล็อกอินหรือมีสิทธิ์ใด ๆ มาก่อน ยิ่งไปกว่านั้น ช่องโหว่นี้กระทบกับ React Server Components (RSC) และเฟรมเวิร์กยอดนิยมอย่าง Next.js ที่ถูกใช้ในระบบ Production นับล้าน ๆ อินสแตนซ์ทั่วโลก สถานการณ์ยิ่งน่าเป็นห่วงเมื่อมีรายงานการโจมตีจริงในเวลาไม่นานหลังการเปิดเผยช่องโหว่ ทั้งจากกลุ่มแฮ็กเกอร์ระดับรัฐและบ็อตเน็ตที่ไล่สแกนหาเซิร์ฟเวอร์ที่ยังไม่ได้แพตช์ จนทำให้ CISA ต้องรีบนำ React2Shell เข้าไปอยู่ใน Known Exploited Vulnerabilities (KEV) ซึ่งหมายความว่าช่องโหว่นี้ “กำลังถูกโจมตีอยู่จริง” ไม่ใช่แค่บนกระดาษอีกต่อไป
React2Shell คืออะไร และทำไมถึงรุนแรงระดับ 10/10 บน CVE
React2Shell (CVE-2025-55182) เป็นช่องโหว่ Remote Code Execution (RCE) ใน React Server Components ที่เกิดจากการจัดการข้อมูลแบบ Deserialization บนโปรโตคอลที่ชื่อว่า React Flight ไม่รัดกุม เมื่อมีการรับ Payload ที่ถูกออกแบบมาอย่างเจาะจง เซิร์ฟเวอร์จะเผลอถอดรหัสและส่งข้อมูลเหล่านั้นเข้าไปให้โค้ดฝั่งเซิร์ฟเวอร์รันต่อโดยเชื่อใจแบบผิด ๆ ผลลัพธ์คือผู้โจมตีสามารถสั่งให้เซิร์ฟเวอร์รันโค้ดอันตรายในสิทธิ์เดียวกับ Node.js Process ได้ทันที จุดที่ทำให้ React2Shell อันตรายมากคือ ผู้โจมตีไม่จำเป็นต้องล็อกอิน ไม่ต้องมีบัญชีบนระบบ และไม่ต้องอาศัยเงื่อนไขพิเศษใด ๆ เพียงแค่เข้าถึง Endpoint ที่รองรับ React Server Components หรือ Server Functions ก็สามารถส่ง HTTP Request ที่เป็นอันตรายเข้ามาได้แล้ว นี่คือเหตุผลที่ช่องโหว่นี้ถูกให้คะแนนความรุนแรงเต็ม 10/10 และถูกเปรียบเทียบว่าเป็น “Log4Shell เวอร์ชัน React” ในมุมมองของหลาย ๆ ฝ่าย
เฟรมเวิร์กและเวอร์ชันที่ได้รับผลกระทบ
ช่องโหว่นี้มีต้นทางอยู่ในแพ็กเกจ React ที่เกี่ยวข้องกับ React Server Components โดยตรง ได้แก่ react-server-dom-webpack, react-server-dom-parcel และ react-server-dom-turbopack ในเวอร์ชัน 19.0, 19.1.0, 19.1.1 และ 19.2.0 ซึ่งเป็นชุดที่ถูกใช้เป็นพื้นฐานของเฟรมเวิร์กสมัยใหม่จำนวนมาก ในทางปฏิบัติ หมายความว่าแอปพลิเคชันที่ใช้เฟรมเวิร์กยอดนิยมอย่าง Next.js (โดยเฉพาะโหมด App Router), รวมถึงโซลูชันที่รองรับ RSC อื่น ๆ เช่น Vite RSC, Waku, React Router RSC Preview หรือระบบ SSR ที่ฝัง RSC เข้ามา ล้วนมีโอกาสได้รับผลกระทบ หากยังไม่ได้อัปเกรดแพ็กเกจ React ไปเป็นเวอร์ชันที่มีการแพตช์แล้ว เช่น 19.0.1, 19.1.2 หรือ 19.2.1 ที่สำคัญคือ หลายกรณี ผู้พัฒนาอาจไม่ได้ตั้งใจใช้ฟีเจอร์ Server Components โดยตรง แต่เฟรมเวิร์กหรือปลั๊กอินที่เลือกใช้อาจ “พก” โค้ดส่วนนี้เข้ามาด้วย ทำให้ระบบตกอยู่ในความเสี่ยงโดยที่ทีม Dev ไม่รู้ตัว หากไม่ได้ตรวจสอบ Dependency Tree อย่างจริงจัง
เมื่อช่องโหว่ถูกใช้โจมตีจริง และถูกดันเข้า CISA KEV
หลังการเปิดเผย React2Shell เพียงไม่นาน ก็เริ่มมีรายงานจากหลายแหล่งว่ามีกลุ่มผู้โจมตีจำนวนมากเริ่มทดลองยิง Payload ใส่เซิร์ฟเวอร์ที่ใช้ React และ Next.js แบบอัตโนมัติ บางแคมเปญมุ่งโจมตีเพื่อฝัง Cryptominer ขุดเหรียญดิจิทัล บางกรณีพยายามดึงไฟล์การตั้งค่าและ Credential ของ AWS เพื่อขยายการโจมตีเข้าไปใน Cloud ต่อ ด้วยความที่ช่องโหว่สามารถใช้งานได้แบบ Pre-authentication และมี PoC เผยแพร่สู่สาธารณะแล้ว ทำให้ CISA ตัดสินใจนำ CVE-2025-55182 เข้าไปอยู่ใน Known Exploited Vulnerabilities (KEV) อย่างเป็นทางการ พร้อมกำหนดเส้นตายให้หน่วยงานภาครัฐของสหรัฐฯ ต้องแพตช์ให้เรียบร้อยภายในระยะเวลาที่กำหนด การที่ช่องโหว่ถูกบรรจุใน KEV หมายถึงว่า นี่ไม่ใช่แค่ “ความเสี่ยงในเชิงทฤษฎี” แต่เป็นช่องโหว่ที่กำลังถูกใช้โจมตีจริงในโลกภายนอกแล้ว
ความเสี่ยงต่อธุรกิจและระบบ Production
สำหรับองค์กรที่พัฒนาเว็บด้วย React และ Next.js ช่องโหว่นี้แปลตรงตัวได้ว่า “ประตูหลังบนเซิร์ฟเวอร์” ที่เปิดทิ้งไว้โดยไม่รู้ตัว ผู้โจมตีเพียงแค่ค้นหา Endpoint ที่รองรับ RSC หรือ Server Functions ก็สามารถส่งคำสั่งมารันบนเซิร์ฟเวอร์ของเราได้แล้ว ผลกระทบไม่ได้จำกัดอยู่แค่การล่มของบริการ แต่รวมถึงความเสี่ยงด้านข้อมูล เช่น การอ่านไฟล์สำคัญ การดึง Secret หรือ Credential ไปใช้โจมตีต่อ ไปจนถึงการยึดเซิร์ฟเวอร์เป็นฐานโจมตีภายในเครือข่ายต่อเนื่อง ในระดับชื่อเสียงแบรนด์ เหตุการณ์ที่มีการฝัง Cryptominer หรือสคริปต์อันตรายลงในระบบ Production โดยเฉพาะบนเว็บที่ให้บริการลูกค้าจำนวนมาก ย่อมกระทบต่อความเชื่อมั่นและความไว้วางใจอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะในยุคที่ข่าวช่องโหว่และเหตุ Security Incident ถูกรายงานและแชร์ต่ออย่างรวดเร็วผ่านโซเชียลมีเดียและสื่อเฉพาะทางด้านความปลอดภัย
แนวทางปิดช่องโหว่และลดความเสี่ยงสำหรับทีม Dev และ Security
กุญแจสำคัญที่สุดของ React2Shell คือ “การแพตช์ให้เร็วที่สุดเท่าที่จะทำได้” ทีม Dev ควรตรวจสอบเวอร์ชันของ React และเฟรมเวิร์กที่ใช้งานอยู่ หากพบว่าอยู่ในช่วงเวอร์ชันที่ได้รับผลกระทบ ควรวางแผนอัปเกรดไปยังเวอร์ชันที่มีการแก้ไขแล้วทันที พร้อมกับทดสอบ Regression บน Staging ให้เร็วที่สุด ไม่ควรปล่อยให้ระบบ Production อยู่ในสถานะเสี่ยงเป็นเวลานาน ขณะเดียวกัน ทีม Security สามารถเสริมแนวป้องกันชั่วคราวได้ด้วยการเพิ่มกฎใน WAF เพื่อกรอง Request ที่มุ่งมายัง Endpoint ที่เกี่ยวข้องกับ RSC/Server Functions ตรวจจับ Payload แปลก ๆ ที่มีลักษณะเป็น Flight Stream หรือโครงสร้างไม่ปกติ รวมถึงการเฝ้าดู Log สำหรับคำสั่งหรือ Process ที่ผิดสังเกต เช่นการรัน PowerShell แปลก ๆ หรือการพยายามอ่านไฟล์ Credential บนระบบ อีกมุมหนึ่งที่ไม่ควรมองข้าม คือการทำ Asset Inventory และ Dependency Mapping ให้ชัดเจนว่าในองค์กรมีระบบใดบ้างที่ใช้ React19 + RSC หรือเฟรมเวิร์กที่รองรับฟีเจอร์ดังกล่าว เพราะหลายครั้ง React2Shell ไม่ได้โจมตีแค่หน้าเว็บหลัก แต่เล่นงานระบบย่อย บริการภายใน หรือ Admin Portal ที่ถูกสร้างด้วยเทคโนโลยีชุดเดียวกันแต่ถูกลืมจากรอบแพตช์ปกติ
สรุป: อย่าปล่อยให้ React2Shell กลายเป็น Log4Shell รอบใหม่ในองค์กรของคุณ
React2Shell เป็นตัวอย่างชัดเจนของช่องโหว่ยุคใหม่ที่เกิดจากการออกแบบฟีเจอร์ให้สะดวกสำหรับนักพัฒนา แต่เผลอเปิดช่องให้ผู้โจมตีใช้เส้นทางเดียวกันโจมตีระบบได้ ด้วยคะแนนความรุนแรงระดับ 10/10 การโจมตีแบบไม่ต้องล็อกอิน และการถูกเพิ่มเข้า CISA KEV พร้อมรายงานการโจมตีจริงจากหลายแหล่ง ทำให้องค์กรไม่สามารถมองข้ามเรื่องนี้ได้เลย หากองค์กรของคุณใช้ React หรือ Next.js ในระบบสำคัญ ถึงเวลาเร่งตรวจสอบเวอร์ชัน แพตช์ระบบ วางกฎ WAF เพิ่มเติม และยกระดับการมองเห็นพฤติกรรมบนเซิร์ฟเวอร์ให้มากขึ้น ยิ่งลงมือเร็วเท่าไร โอกาสที่จะป้องกันไม่ให้ React2Shell กลายเป็นวิกฤตใหญ่ของธุรกิจคุณก็ยิ่งสูงตามไปด้วย
Reference
Lakshmanan, R. (2025, December 3). Critical RSC bugs in React and Next.js allow unauthenticated remote code execution. The Hacker News. https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html Lakshmanan, R. (2025, December 6). Critical React2Shell flaw added to CISA KEV after confirmed active exploitation. The Hacker News. https://thehackernews.com/2025/12/critical-react2shell-flaw-added-to-cisa.html
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line: @monsteronline
☎️ Tel: 02-026-6664
📩 Email: [email protected]
🌐 ดูสินค้าเพิ่มเติม: mon.co.th
