พบช่องโหว่ React และ Next.js (React2Shell) ระดับวิกฤต ต้องอัปเดตทันที

NT cyfence

เมื่อวันที่ 3 ธันวาคม ที่ผ่านมามีการค้นพบช่องโหว่ระดับวิกฤต CVE-2025-55182 หรือ “React2Shell” ซึ่งมีความรุนแรงระดับสูงสุด (CVSSv3 Score: 10/10) ช่องโหว่นี้ทำให้แฮกเกอร์สามารถสั่งรันโค้ดอันตรายบนเซิร์ฟเวอร์ (Remote Code Execution – RCE) ได้ทันทีโดย ไม่ต้องมีการยืนยันตัวตน (Unauthenticated)

ผู้โจมตี

จากข่าวทาง AWS ตรวจพบกิจกรรมการโจมตีจากกลุ่มแฮกเกอร์ชื่อดัง 2 กลุ่มหลัก ซึ่งมีความเสี่ยงสูงต่อภูมิภาคเอเชียตะวันออกเฉียงใต้ (รวมถึงไทย):

  • Earth Lamia: กลุ่มนี้มุ่งเน้นโจมตีหน่วยงานรัฐบาล, การเงิน, โลจิสติกส์ และบริษัท IT ในแถบ เอเชียตะวันออกเฉียงใต้ (Southeast Asia), ตะวันออกกลาง และละตินอเมริกา โดยมักฉวยโอกาสจากช่องโหว่เว็บแอปพลิเคชัน
  • Jackpot Panda: กลุ่มนี้มีเป้าหมายหลักในแถบเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้เช่นกัน โดยเน้นไปที่ธุรกิจหรือหน่วยงานที่เกี่ยวข้องกับความมั่นคงและการปราบปรามการทุจริต

แนวทางการป้องกันและแก้ไข

1. อัปเดตแพตช์ทันที การอัปเดตซอฟต์แวร์เป็นวิธีแก้ไขที่ถาวรและดีที่สุด

ผู้ใช้ React ควรอัปเดตเป็นเวอร์ชัน 19.0.1, 19.1.2 หรือ 19.2.1

ผู้ใช้ Next.js ควรอัปเดตเป็นเวอร์ชัน 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 หรือ 16.0.7

คำแนะนำโดยละเอียดสำหรับการอัปเดตส่วนประกอบ react-server อ่านได้ที่นี่

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

2. เปิดใช้งาน WAF (Web Application Firewall)
ผู้ให้บริการ Cloud ชั้นนำได้ออกกฎ (Rules) ป้องกันมาแล้ว แต่อาจต้องตรวจสอบการเปิดใช้งาน

Cloudflare: ป้องกันให้อัตโนมัติ (แม้แต่ลูกค้า Free plan) หาก Traffic ผ่าน Cloudflare Proxy

  • AWS: เปิดใช้งานกฎใน AWS WAF (อาจต้อง Activate manual ในบางเคส)
  • Google Cloud: Cloud Armor อัปเดต Rule แล้วสำหรับ Firebase
  • Vercel / Akamai: มีการอัปเดต Rule ป้องกันแล้ว

3. มาตรการสำหรับเซิร์ฟเวอร์องค์กร (On-Premise / Private Cloud)
หากท่านดูแลเซิร์ฟเวอร์เอง และยังไม่สามารถอัปเดตได้ทันที ให้ดำเนินการดังต่อไปนี้

  • จำกัดการเข้าถึง (Access Control): บล็อก Request จาก IP ที่ไม่น่าเชื่อถือ หรือจำกัดวงให้เข้าถึงได้เฉพาะภายใน (Internal)
  • ติดตั้ง EPP/EDR: ติดตั้งซอฟต์แวร์ป้องกัน Endpoint บนเซิร์ฟเวอร์ที่มี RSC เพื่อตรวจจับพฤติกรรมผิดปกติ เช่น การรัน Process แปลกปลอม
  • Monitor Logs: เฝ้าระวัง HTTP POST Request ที่น่าสงสัย หรือ Traffic ที่พยายามเข้าถึงไฟล์ Sensitive

เนื่องจากช่องโหว่มีความรุนแรง NT cyfence แนะนำอัปเดต React และ Next.js ทันที

ข้อมูลจาก

 

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
Microsoft แก้ไขช่องโหว่ร้ายแรง Notepad บน Windows 11
NT cyfence
แจ้งเตือนผู้ใช้ Windows 11! พบช่องโหว่ร้ายแรง (CVE-2026-20841) ใน Notepad ที่ทำให้แฮกเกอร์รันโปรแกรมอันตรายผ่านลิงก์ Markdown ได้
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
เตือน!! เว็บปลอม 7-Zip ทำหน้าดาวน์โหลดปล่อยตัวติดตั้งแฝงมัลแวร์
NT cyfence
เตือนระวังดาวน์โหลด 7-Zip จากเว็บปลอม แฝงมัลแวร์ขโมยใช้ IP เครื่องไปทำผิดกฎหมาย แนะเช็ก URL ให้ชัวร์ก่อนโหลด และเลี่ยงลิงก์ใต้คลิป...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
Notepad++ ถูกแฮกเกอร์ฝังมัลแวร์ผ่านช่องทางอัปเดตระบบ
NT cyfence
ทีมนักพัฒนา Notepad++ ประกาศแจ้งเตือนกรณีระบบการ Update Software ถูกกลุ่มแฮกเกอร์แทรกแซงเพื่อแพร่กระจายมัลแวร์
อ่านต่อ >
Scroll to Top