React.js atingido pela vulnerabilidade de gravidade máxima ‘React2Shell’

React.js atingido pela vulnerabilidade de gravidade máxima ‘React2Shell’

Uma vulnerabilidade crítica na execução remota de código em React.js foi identificada.

React.js é uma biblioteca JavaScript para construir interfaces de usuário (UIs) rápidas e interativas usando componentes reutilizáveis.

O pesquisador de segurança Lachlan Davidson divulgou a vulnerabilidade em 29 de novembro de 2025 para a equipe Meta.

Oficialmente rastreado como CVE-2025-55182, a falha foi apelidada de React2Shell, uma referência nada sutil ao Vulnerabilidade do Log4Shell que foi descoberto em 2021. Ele afeta o uso do React.js no lado do servidor e recebeu a classificação máxima de severidade (CVSS) de 10,0.

Separadamente, a equipe Next.js publicou um aviso de segurançae relataram seu próprio CVE,CVE-2025-66478, em 3 de dezembro. No entanto, o Banco de Dados Nacional de Vulnerabilidades dos EUA (NVD) rejeitou esse CVE como uma duplicata do CVE-2025-55182.

React e Next.js são frameworks JavaScript usados em muitas aplicações web modernas, seu uso generalizado é motivo de preocupação.

A exploração bem-sucedida do React2Shell poderia fornecer ao atacante a capacidade de rodar código arbitrário e assumir o controle do servidor vítima. Isso pode levar a um amplo comprometimento de dados sensíveis.

“A ubiquidade do React e do Next.js, junto com sua facilidade de exploração, torna esses bugs significativos. A exploração é incrivelmente simples e pode ser alcançada sem autenticação”, comentou Ari Eitan, diretor de pesquisa em segurança em nuvem da Tenable.

“Uma única requisição HTTP maliciosa pode acionar a execução remota de código no lado do servidor, o que torna o problema extremamente prejudicial”, acrescentou Eitan.

Diferente de muitas ameaças da cadeia de suprimentos que afetam configurações raras, esta explora a lógica central de desserialização do próprio framework e é explorável em muitos casos.

De acordo com pesquisadores de uma empresa de segurança na cadeia de suprimentos de software JFrog, a taxa de sucesso da exploração é relatada como quase 100% nas configurações padrão.

Servidores React que utilizam endpoints React Server Function são conhecidos por serem vulneráveis.

A aplicação web Next.js também é vulnerável em sua configuração padrão.

Exploração do React2Shell Provável

No momento da redação, não se sabe se houve exploração ativa, porém houve alguns relatos de atividade de exploração observada até 5 de dezembro de 2026.

Essa situação provavelmente evoluirá agora que as vulnerabilidades foram divulgadas publicamente.

Também em 5 de dezembro, por volta das 10h GMT, a OX Security alertou que a falha agora é ativamente explorável.

Em uma postagem no LinkedIn, a cibersegurança A empresa disse, “Hacker maple3142 publicou um PoC funcionando, e nossa equipe o verificou com sucesso. Isso não é mais teórico. Isso resulta em execução remota de código não autenticada em servidores vulneráveis React e Next.js.”

O JFrog afirmou que identificou provas de conceito (PoC) falsas no GitHub.

Esses tipos de projetos são conhecidos por conter código malicioso. As equipes de segurança devem verificar as fontes antes dos testes, alertou JFrog.

Recomendações de Remediação Imediata

Para resolver o CVE-2025-55182 e CVE-2025-66478 são instados a atualizar quaisquer pacotes vulneráveis para os fixos listados.

A vulnerabilidade está presente nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 de:

A React informou que uma correção foi introduzida nas versões 19.0.1, 19.1.2e 19.2.1. Se algum dos pacotes acima estiver em uso, eles devem ser atualizados imediatamente para qualquer uma das versões corrigidas.

Para Next.js apps, nos casos em que a funcionalidade do Roteador de Aplicativos não é muito utilizada, a aplicação web pode ser migrada de volta para o uso do Roteador de Páginas seguindo aNext.js Guia de migração de roteadores de aplicativos.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.