过去两周,React 框架高危漏洞(CVE-2025-55182/CVE-2025-66478,CVSS 10.0分)引发广泛关注。React 是企业采用率最高的前端框架,此次漏洞涉及面广泛,一个请求即可导致业务被利用,攻击者无需密码、无需身份验证,仅需构造恶意请求即可远程操控服务器,篡改数据、植入后门。
0-day 的不可预测性导致业务很难提前进行策略部署,传统防御体系往往因规则滞后陷入被动,这正是 0-day 漏洞的残酷现实:未知威胁面前,响应速度决定风险成本。在漏洞披露到修复的窗口期内,业务如同“裸奔”在攻击视野中,只能被动挨打。面对此类问题,最好的方式是从被动响应到前置拦截。
EdgeOne 在漏洞曝光24小时内完成全球规则库更新,助力用户实现自动化实时防御,保障业务系统安全稳健运行。这意味着用户无需等待 React 官方修复,更不必经历版本升级、灰度验证等漫长流程,而是在漏洞攻击扩散的黄金窗口期内,就能直接获得自动化防护。
EdgeOne 能够实现如此高效的响应,核心在于以下解决方式和优势:
腾讯安全实验室:全球顶尖白帽团队实时狩猎漏洞,持续投入并跟踪各类漏洞风险,第一时间获取 POC;
自动更新规则集:极速验证上线策略,全球部署。从制定防护机制,形成流量识别策略,检验有效性,再到更新至 EdgeOne 全球规则库,用户即可自动启用配置。
关键的是,这种企业级安全防护,并非大公司专属。针对此次 React 的漏洞,EdgeOne 新增了「开源组件漏洞」专项规则,并将防护策略同步到了所有套餐版本,支持广大的中小企业和开发者。可参考下列配置方式来识别并拦截攻击流量:
关闭托管规则的「评估模式」。
确保「开源组件漏洞」规则组已开启自动防护(标准版和企业版支持此功能)。
若未启用自动更新,可开启手动防护并将规则 4401216445 和 4401216452 设置为「拦截」。
对于免费版和个人版套餐的用户,请将免费漏洞防护规则集设置为「拦截」,或将规则 4401216445 和 4401216452 设置为「拦截」。
更多详细内容请点击文末「阅读原文」查看产品公告
在漏洞成为常态的数字化时代,前置拦截才是安全的终极答案,EdgeOne全套餐覆盖的防护能力为广大用户提供可靠的安全底座。
