2025 年 12 月 5 日,Cloudflare 遭遇了一次大范围服务中断,返回“500 内部服务器错误”信息,导致全球诸多网站和在线平台纷纷宕机。

  Cloudflare 故障:修补漏洞时关闭测试规则,触发旧系统隐藏依赖

  Cloudflare 现在将此次事件归咎于为堵住 React Server Components 中一个严重的远程代码执行漏洞而推出的紧急修复程序,该漏洞正被攻击者大肆利用。

  Cloudflare 首席技术官 Dane Knecht 在事后分析报告中指出:“这个问题并非由针对 Cloudflare 系统的网络攻击或任何类型的恶意活动直接或间接导致。相反,它是由我们在尝试检测和修复本周在 React Server Components 中披露的一个影响全行业的漏洞时,对我们的请求体解析逻辑所做的更改触发的。”

  “部分客户受到影响,约占 Cloudflare 服务的所有 HTTP 流量的 28%。”

  Cloudflare 本次故障的根本原因:是在为应对 React 新披露漏洞(CVE-2025-55182)而紧急关闭内部 WAF 测试规则时,使用了会立即在全网生效的全局配置系统,将一条 action=execute 类型的规则通过 killswitch 禁用;但在旧版 FL1 代理的代码中,执行跳过该规则后,本应被创建的 execute 对象并不存在,而后续逻辑依然假设 execute 一定存在并继续访问其字段,导致 Lua 抛出 “attempt to index field ‘execute’ (a nil value)” 异常。由于 FL1 的错误处理是 fail-closed,没有任何降级或 fail-open 机制,这一异常直接导致所有受影响的请求返回 HTTP 500,从而引发约 28% 全局流量宕断。这是紧急配置变更 + 全局瞬时下发机制 + 多年未触发的代码缺陷 + 不安全的错误处理策略 叠加造成的系统性根因。

  这个最高等级的安全漏洞编号为 CVE-2025-55182,名为 React2Shell,影响用于 Web 和原生用户界面的 React 开源 JavaScript 库,还波及多个相依赖的React框架,比如Next.js、React Router、Waku、@parcel/rsc、@vitejs/plugin-rsc 和 RedwoodSDK。

  该漏洞存在于 React Server Components(RSC)的 Flight 协议中,允许未经身份验证的攻击者通过向 React Server Function 端点发送恶意构造的 HTTP 请求,在 React 和 Next.js 应用程序中执行远程代码。

  虽然多个默认配置的 React 包(比如 react-server-dom-parcel、react-server-dom-turbopack 和 react-server-dom-webpack)易受攻击,但该漏洞仅影响过去一年内发布的 React 版本:19.0、19.1.0、19.1.1 和 19.2.0。