深度解读React满分漏洞，一个前端框架怎么炸掉半个互联网【让编程再次伟大#50】为什么React的漏洞能攻破服务器？NextJs与RSC入门基础轉
React 近期安全漏洞的分析：

React 近期引入了類似遠端程序呼叫（RPC）的機制（即 Server Actions），但開發團隊在實作上出現了嚴重疏失。他們未嚴格遵守 RPC 的安全開發原則，忽略了對 HTTP 請求內容進行必要的惡意指令驗證。

這導致了一個嚴重的安全漏洞：伺服器端會無條件執行前端傳來的任何指令。攻擊者甚至可以透過 HTTP 請求直接執行如 rm -rf / 等系統層級的 Bash 指令。由於 Next.js 內部整合了這套 React 機制，因此 Next.js 與 React 都必須立即更新以修補此漏洞。