2,15 milhões de serviços da Web Next.js expostos on-line, ataques ativos relatados – atualização imediata

2,15 milhões de serviços da Web Next.js expostos on-line, ataques ativos relatados – atualização imediata

Equipes de segurança em todo o mundo estão correndo para corrigir sistemas após a divulgação de uma vulnerabilidade crítica do React, CVE-2025-55182, amplamente conhecida como “React2Shell.”

A falha afeta React Server Components (RSC) e tem pontuação CVSS máxima de 10, a classificação mais alta possível, sinalizando impacto crítico e facilidade de exploração.

Censys a telemetria mostra que mais de 2,15 milhões de serviços voltados para a Internet estão executando tecnologias que podem ser afetadas, incluindo aplicativos desenvolvidos com Next.js, Waku, React Router RSC, Vite RSC, Parcel RSC e RedwoodSDK.

Embora nem todas estas instâncias sejam confirmadamente vulneráveis, a pegada exposta é enorme e a exploração ativa já começou.

React2Shell (CVE-2025-55182)

O bug está em como os componentes do React Server e os pacotes relacionados lidam com os dados enviados aos endpoints da função do servidor.

Os pacotes do lado do servidor do React (react-server-dom-webpack,react-server-dom-parcel ereact-server-dom-turbopack) executam desserialização insegura de cargas JSON.

Um invasor não autenticado pode enviar uma solicitação HTTP especialmente criada para um endpoint vulnerável, forçando o servidor a executar JavaScript arbitrário.

Na prática, isso significa uma completaexecução remota de código (RCE)caminho no servidor, sem necessidade de login.

O React confirmou que mesmo aplicativos que não usam explicitamente funções de servidor ainda podem ser vulneráveis ​​se suportarem RSC no lado do servidor.

Por outro lado, aplicativos React puros do lado do cliente que não usam RSC ou uma estrutura compatível com RSC não são afetados.

A situação não é teórica. AWS equipes de segurança observaram atores de ameaças do nexo da China começando a explorar o React2Shell dentro de 24 horas após a divulgação pública.

Grupos relatados, incluindo Earth Lamia e Jackpot Panda, estão usando a vulnerabilidade para obter acesso inicial e, em seguida, implantar web shells, backdoors e ferramentas adicionais.

A CISA adicionou CVE-2025-55182 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), confirmando que a vulnerabilidade é usada ativamente em ataques do mundo real e deve ser tratada como uma prioridade para redes federais e do setor privado.

Várias explorações públicas de prova de conceito foram lançadas, reduzindo a barreira para invasores oportunistas. Alguns PoCs, no entanto, são falsos ou maliciosos, ressaltando a necessidade de cautela ao lidar com códigos de exploração.

Os seguintes pacotes do servidor React são afetados nas versões 19.0.0, 19.1.0, 19.1.1 e 19.2.0:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Estruturas e ferramentas que incorporam ou dependem desses pacotes também são afetadas, incluindo:

  • Next.js (Roteador de aplicativo)
  • Visualização RSC do roteador React
  • Waku
  • Plugin Vite RSC(@vitejs/plugin-rsc)
  • Plug-in Parcel RSC(@parcel/rsc)
  • RedwoodSDK

Para Next.js, versões 14.3.0-canary.77 e posteriores, all15.x e all16.x que usam o App Router devem ser considerados vulneráveis ​​até serem verificados e corrigidos.

Patch e mitigação

Os fornecedores já lançaram correções. React enviou versões corrigidas 19.0.1, 19.1.2 e 19.2.1, enquanto Next.js publicou vários lançamentos fixos em ramificações suportadas, incluindo 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 e 16.0.7.

Cloudflare, AWS e outros provedores implementaram regras WAF para bloquear padrões de exploração conhecidos.

No entanto, os investigadores já demonstraram técnicas de desvio do WAF, o que significa que estas defesas devem ser tratadas apenas como uma camada temporária, e não como um substituto para o patch.

As organizações são fortemente aconselhadas a:

  • Faça um inventário de todos os ativos voltados para a Internet usando Servidor React Componentes, Next.js ou outras estruturas listadas.
  • Confirme as versões do pacote e da estrutura, priorizando sistemas acessíveis pela Internet pública.
  • Atualize imediatamente para as versões corrigidas mais recentes e verifique a implantação.

Dada a escala dos serviços expostos e a presença de exploração ativa, qualquer serviço habilitado para RSC sem correção deve ser tratado como de alto risco até ser atualizado e cuidadosamente revisado em busca de sinais de comprometimento.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.