Uma vulnerabilidade no componente do servidor React (RSC) poderia permitir a execução remota de código

NÚMERO DE ASSESSORIA MS-ISAC:

2025-111

DATA(S) DE EMISSÃO:

12/05/2025

VISÃO GERAL:

Foi descoberta uma vulnerabilidade na implementação dos Componentes do Servidor React (RSC) que pode permitir a execução remota de código. Especificamente, poderia permitir a execução remota de código não autenticado em servidores afetados. O problema decorre da desserialização insegura dos payloads do protocolo RSC “Flight”, permitindo que um atacante envie uma requisição elaborada que acione a execução do código no servidor. Agora, isso está sendo chamado de “React2Shell” por pesquisadores de segurança.

INTELIGÊNCIA DE AMEAÇAS:

Exploração ativa foi relatada na natureza. Especificamente, grupos chineses de atores ameaçadores foram encontrados explorando ativamente isso na natureza.

SISTEMAS AFETADOS:

  • Componentes do Servidor React – todas as versões anteriores ao React 19.0.1, 19.1.2 e 19.2.1
  • Next.js 15.x – todas as versões anteriores ao lançamento patchado da 15.x
  • Next.js 16.x – todas as versões anteriores ao lançamento patchado da 16.x
  • Qualquer framework ou ferramenta que inclua Componentes do React Server antes das versões patchadas do React.

RISCO:

Governo:

Entidades governamentais grandes e médiasALTO

Governo pequenoMÉDIA

Empresas:

Grandes e médias empresasALTO

Pequenas empresasMÉDIA

RESUMO TÉCNICO:

Uma vulnerabilidade foi descoberta no React Server Component (RSC), que pode permitir a execução remota de código. Os detalhes da vulnerabilidade são os seguintes:

Tática: Acesso Inicial(TA0001):

Técnica: Explorar Aplicação Voltada ao Público (T1190):

  • CVE-2025-55182 é uma vulnerabilidade crítica de execução remota de código não autenticado no protocolo de voo React Server Components (RSC). O problema decorre da desserialização insegura de dados controlados pelo atacante dentro do processo de tratamento de solicitações/respostas do RSC. Ao enviar uma requisição HTTP especialmente elaborada contendo dados Flight serializados maliciosos, um atacante pode fazer com que o servidor desserialize objetos arbitrários e executar código. Não é necessário realizar autenticação, sessão ou interação do usuário.

A exploração bem-sucedida dessa vulnerabilidade poderia permitir que um atacante remoto não autenticado executasse código no sistema alvo.

RECOMENDAÇÕES:

Recomendamos que as seguintes ações sejam tomadas:

  • Aplique as atualizações apropriadas fornecidas pelo React aos sistemas vulneráveis imediatamente após os testes apropriados. (M1051: Software de Atualização)
  • Safeguard 7.1: Estabeleça e Mantenha um Processo de Gerenciamento de Vulnerabilidades: Estabelecer e manter um processo documentado de gerenciamento de vulnerabilidades para ativos empresariais. Revise e atualize a documentação anualmente, ou quando ocorrerem mudanças significativas na empresa que possam impactar essa Salvaguarda.
  • Salvaguarda 7.2: Estabelecer e Manter um Processo de Remediação:Estabeleça e mantenha uma estratégia de remediação baseada em riscos, documentada em um processo de remediação, com revisões mensais ou mais frequentes.
  • Safeguard 7.4: Realize Gerenciamento Automatizado de Patches de Aplicações:Realize atualizações de aplicativos em ativos empresariais por meio de gerenciamento automatizado de patches mensalmente, ou com maior frequência.
  • Safeguard 7.5: Realize Varreduras Automáticas de Vulnerabilidades dos Ativos Internos da Empresa: Realizar varreduras automatizadas de vulnerabilidades dos ativos internos da empresa trimestralmente ou com maior frequência. Realize varreduras autenticadas e não autenticadas, utilizando uma ferramenta de varredura de vulnerabilidades compatível com SCAP.
  • Safeguard 7.7: Remediar Vulnerabilidades Detectadas:Remediar vulnerabilidades detectadas em softwares por meio de processos e ferramentas mensalmente, ou com mais frequência, com base no processo de remediação.
  • Safeguard 12.1: Garantir que a infraestrutura de rede esteja atualizada:Garanta que a infraestrutura da rede seja mantida atualizada. Exemplos de implementações incluem executar a versão mais recente e estável de software e/ou usar as ofertas de rede como serviço (NaaS) atualmente suportadas. Revise as versões do software mensalmente, ou com mais frequência, para verificar o suporte ao software.
  • Safeguard 18.1: Estabeleça e Mantenha um Programa de Testes de Penetração:Estabelecer e manter um programa de testes de penetração adequado ao tamanho, complexidade e maturidade da empresa. Penetratipara testar, as características do programa incluem escopo, como rede, aplicação web, Interface de Programação de Aplicações (API), serviços hospedados e controles físicos de premissa; frequência; limitações, como horas aceitáveis, e tipos de ataque excluídos; informações de ponto de contato; remediação, como como os achados serão roteados internamente; e requisitos retrospectivos.
  • Safeguard 18.2: Realize Testes de Penetração Externos Periódicos:Realize testes de penetração externos periódicos baseados nos requisitos do programa, no mínimo anualmente. Testes de penetração externos devem incluir reconhecimento empresarial e ambiental para detectar informações exploráveis. O teste de penetração exige habilidades e experiência especializadas e deve ser realizado por meio de uma parte qualificada. O teste pode ser de caixa transparente ou opaca.
  • Safeguard 18.3: Remediar Resultados de Testes de Penetração:Remediar os resultados dos testes de penetração com base na política da empresa para escopo e priorização da remediação.
  • Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços. Execute todo o software como um usuário não privilegiado (sem privilégios administrativos) para minimizar os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de Contas Privilegiadas)
  • Safeguard 4.7: Gerencie Contas Padrão em Ativos e Softwares Empresariais:Gerencie contas padrão em ativos e softwares empresariais, como root, administrador e outras contas pré-configuradas de fornecedores. Exemplos de implementações podem incluir: desativar contas padrão ou torná-las inutilizáveis.
  • Salvaguarda 5.5: Estabeleça e Mantenha um Inventário de Contas de Serviço:Estabeleça e mantenha um inventário de contas de serviço. O inventário, no mínimo, deve conter o proprietário do departamento, a data da revisão e o propósito. Realize revisões de contas de serviço para validar que todas as contas ativas são autorizadas, em um cronograma recorrente pelo menos trimestral ou com mais frequência.
  • A varredura de vulnerabilidades é usada para encontrar vulnerabilidades de software potencialmente exploráveis para corrigi-las. (M1016:Varredura de Vulnerabilidades)
  • Safeguard 16.13: Realize Testes de Penetração de Aplicação:Realize testes de penetração de aplicações. Para aplicações críticas, o teste de penetração autenticado é mais adequado para encontrar vulnerabilidades na lógica de negócios do que a varredura de código e testes automatizados de segurança. O teste de penetração depende da habilidade do testador de manipular manualmente um aplicativo como usuário autenticado e não autenticado.
  • Arquitetar seções da rede para isolar sistemas, funções ou recursos críticos. Use segmentação física e lógica para evitar o acesso a sistemas e informações potencialmente sensíveis. Use uma DMZ para conter quaisquer serviços voltados para a internet que não devam ser expostos pela rede interna. Configure instâncias separadas de nuvem privada virtual (VPC) para isolar sistemas críticos de nuvem. (M1030:Segmentação de Rede)
  • Safeguard 12.2: Estabeleça e Mantenha uma Arquitetura de Rede Segura: Estabelecer e manter uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar, no mínimo, segmentação, privilégios mínimos e disponibilidade.
  • Use capacidades para detectar e bloquear condições que possam levar ou indicar que um exploit de software está ocorrendo. (M1050:Proteção contra Exploits)
  • Safeguard 10.5:Ative Recursos Antiexploração:Ative recursos anti-exploração em ativos e softwares empresariais, sempre que possível, como Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) ou Apple® System Integrity Protection (SIP) e Gatekeeper™.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.