Análise crítica da vulnerabilidade React2Shell (CVE-2025-55182): aumento de ataques direcionados a serviços habilitados para RSC em todo o mundo

Análise crítica da vulnerabilidade React2Shell (CVE-2025-55182): aumento de ataques direcionados a serviços habilitados para RSC em todo o mundo

Torrance, Estados Unidos/Califórnia, 12 de dezembro de 2025, CyberNewsWire

Em dezembro de 2025, CVE-2025-55182 (React2Shell), uma vulnerabilidade no React Server Components (RSC) que permite a execução remota de código (RCE), foi divulgada publicamente.

Pouco depois da publicação, vários fornecedores de segurança relataram atividades de varredura e suspeitas de tentativas de exploração, e a CISA adicionou a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).

React2Shell não está vinculado a uma estrutura específica; em vez disso, decorre de uma fraqueza estrutural no recurso RSC que afeta o ecossistema React mais amplo.

Este artigo examina a base técnica do React2Shell, o cenário de exposição de serviços que usam RSC, a atividade observada do invasor e as estratégias defensivas que as organizações devem adotar.

Visão geral da vulnerabilidade React2Shell: uma falha estrutural que permite RCE sem autenticação

CVE-2025-55182 é causado por uma falha de validação no processo de desserialização do protocolo Flight, que os componentes do React Server usam para trocar estado entre o servidor e o cliente.

Um invasor pode obter RCE simplesmente enviando uma carga útil criada para o endpoint do Server Functions sem autenticação e, como um PoC já está disponível publicamente, a vulnerabilidade é altamente suscetível a ataques automatizados.

O impacto se estende a todos os serviços que usam RSC e, como estruturas como Next.js, React Router RSC, Waku, Vite RSC Plugin, Parcel RSC Plugin e RedwoodJS compartilham a mesma estrutura subjacente, o ecossistema React mais amplo é exposto coletivamente.

O patch oficial está disponível nos pacotes react-server-dom-* versão 19.0.1/19.1.2/19.2.1 ou posterior, e a vulnerabilidade é classificada como CVSS 10.0, indicando gravidade crítica.

Análise de exposição de ativos afetados pelo React2Shell usando propriedade intelectual criminosa

O React2Shell é difícil de detectar usando apenas banners de produtos tradicionais ou conteúdo HTML.

Os serviços baseados em React são projetados para que os componentes RSC não sejam expostos externamente, e estruturas como Next.js, que vende módulos React internamente, tornam ainda mais difícil identificar a pilha de tecnologia subjacente.

Como resultado, métodos simples de detecção baseados em banners não podem determinar com segurança se o RSC está habilitado ou se um serviço está exposto a esta vulnerabilidade.

Em ambientes do mundo real, o método de detecção mais confiável é identificar sistemas com base em seus cabeçalhos de resposta HTTP, e os servidores com RSC habilitado exibem consistentemente os seguintes valores.

Consulta de pesquisa de IP criminal:“Variar: RSC, árvore de estado do próximo roteador”

Os usuários podem detectar servidores habilitados para RSC nos Estados Unidos usando Criminal IP aplicando consultas baseadas nesses padrões de cabeçalho.

Consulta de pesquisa de IP criminal:“Vary: RSC, Next-Router-State-Tree” país: “EUA”

De acordo com os resultados do Criminal IP Asset Search, a consulta“Vary: RSC, Next-Router-State-Tree” país: “EUA”identificou um total de 109.487 ativos habilitados para RSC.

Este padrão de cabeçalho indica que o RSC está ativo nesses servidores. Embora não signifique que todos sejam vulneráveis, é um indicador crítico da superfície de exposição em grande escala que existe.

Ao examinar os resultados da análise de um ativo específico no Criminal IP, descobriu-se que o servidor tinha as portas 80 e 443 expostas externamente, e seus cabeçalhos de resposta, detalhes do certificado SSL, lista de vulnerabilidades e associações de banco de dados de exploração podiam ser revisados ​​em uma única página unificada.

Neste ativo, foram identificados indicadores relevantes para o React2Shell juntamente com outras vulnerabilidades críticas, incluindo CVE-2023-44487 (HTTP/2 Rapid Reset), que tem sido amplamente utilizada em ataques DDoS em grande escala.

Isto demonstra comoPesquisa de ativos IP criminososfornece múltiplas camadas de análise que ajudam a avaliar se um ambiente é realisticamente explorável por invasores.

Estratégias de mitigação de segurança

As organizações devem atualizar imediatamente todos os pacotes relacionados ao React para suas versões corrigidas mais recentes.

O pacote react-server-dom-webpack deve ser atualizado para a versão 19.0.1, 19.1.2 ou 19.2.1, enquanto react-server-dom-parcel e react-server-dom-turbopack devem ser atualizados para a versão 19.0.1 ou posterior para garantir que estejam protegidos contra a vulnerabilidade.

2. Verifique a disponibilidade de patches para cada estrutura

React RSC é usado em vários frameworks, incluindo Next.js, Vite, Parcel e RedwoodJS. Notavelmente, o Next.js fornece RSC internamente, o que significa que a atualização dos pacotes React por si só pode não aplicar automaticamente a correção.

Portanto, é essencial revisar os avisos de segurança oficiais ou notas de lançamento de cada estrutura e atualizar para a versão na qual a vulnerabilidade foi abordada.

3. Minimize a exposição externa de endpoints RSC

Sempre que possível, restrinja o acesso usando um proxy reverso, WAF ou gateway de autenticação.

4. Aproveite a propriedade intelectual criminosa para monitoramento

  • Monitore a exposição do cabeçalho relacionado ao RSC
  • Detecte tentativas de digitalização com base em impressões digitais TLS
  • Bloqueie automaticamente IPs de verificação maliciosos
  • Verifique a presença de vulnerabilidade e entradas de banco de dados de exploração associadas

A Análise’ Conclusão

React2Shell (CVE-2025-55182) é uma vulnerabilidade crítica que afeta os serviços baseados em React mais amplamente usados ​​em todo o ecossistema da web. Com baixa complexidade de exploração e PoCs disponíveis publicamente, os ataques ativos estão a espalhar-se rapidamente.

De acordo com a análise da Criminal IP, aproximadamente 110.000 serviços habilitados para RSC nos Estados Unidos estão expostos, sublinhando o risco substancial de exploração generalizada.

Além de aplicar patches, identificar serviços RSC expostos e realizar monitoramento em tempo real são componentes essenciais de uma estratégia de resposta React2Shell eficaz.

A PI criminal fornece uma das ferramentas mais eficazes para mapear com precisão esta superfície de ataque e fortalecer as medidas defensivas.

Em relação a isso, os usuários podem consultarVulnerabilidade de middleware Next.js permite desvio de autenticação: mais de 520 mil ativos em risco.

Sobre IP criminosa

PI criminosa é a principal plataforma de inteligência contra ameaças cibernéticas desenvolvida pela AI SPERA. A plataforma é usada em mais de 150 países e fornece visibilidade abrangente de ameaças por meio de soluções de segurança empresarial, como Criminal IP ASM e Criminal IP FDS.

A Criminal IP continua a fortalecer o seu ecossistema global através de parcerias estratégicas com Cisco, VirusTotal e Quad9.

Os dados de ameaças da plataforma também estão disponíveis nos principais mercados de armazenamento de dados dos EUA, incluindo Amazon Web Services (AWS), Microsoft Azure e Snowflake. Esta expansão melhora o acesso global à inteligência de ameaças de alta qualidade da propriedade intelectual criminosa.

Contato

Michael Sena

IA ESPERA

[emailprotected]

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.