Grupos de ameaças do nexo da China estão correndo para transformar o novo bug React2Shell em uma arma, rastreado como CVE-2025-55182, poucas horas após sua divulgação pública.
A falha está nos componentes do React Server e permite que um invasor execute código no servidor sem fazer login. As primeiras verificações mostram uma ampla investigação de aplicativos React e Next(.)js voltados para a Internet, com foco em cargas de trabalho de nuvem de alto valor.
O bug atinge React 19.xe Next(.)js 15.xe 16.x quando o recurso App Router está em uso. Mesmo aplicativos que não chamam ações do servidor correm risco, desde que suportem componentes do React Server.
Isso aumenta a exposição para equipes que adotaram a pilha React mais recente, mas ainda não fizeram a correção.
Analistas e pesquisadores de segurança da AWS identificaram tráfego de exploração React2Shell ao vivo em sua rede honeypot MadPot poucas horas após a divulgação do comunicado.
Em seguida, eles implementaram novas defesas por meio do Sonaris e atualizaram as regras gerenciadas pelo AWS WAF, alertando ao mesmo tempo que essas camadas não substituem a aplicação rápida de patches em EC2 executados pelo cliente, contêineres e hosts locais.
O tráfego vinculado a grupos do nexo da China, como Earth Lamia e Jackpot Panda, mostra testes ativos de código de prova de conceito público em aplicativos reais.
Alguns clusters gastam quase uma hora ajustando cargas úteis, tentando comandos como whoami, id, gravações de arquivos em /tmp/’pwned’.txt e leituras de /etc/’passwd’.
FieldDetailCVECVE-2025-55182NameReact2ShellCWE / ClassUnsafe desserialização em React Server ComponentsSeverity (CVSS)10.0, criticAffected stackReact 19.x; Next.js 15.x, 16.x com App RouterAttack vectorRemote, HTTP POSTImpact não autenticadoExecução remota de código no servidor Node.jsChave HTTP assina’next-action’, ‘rsc-action-id’, ‘$”@’, “status”:”resolved_model”
Fluxo de infecção e cadeia de exploração
Esta seção fornece uma análise técnica completa em termos claros e simples. Um ataque React2Shell típico começa com uma solicitação POST elaborada para um endpoint do React Server Components.
O corpo contém uma carga falsa de “ação” que abusa da etapa insegura de desserialização para injetar JavaScript no servidor.
Um exemplo simples é assim: –
‘POST /_rsc HTTP/1(.)1’ Host: vítima(.)exemplo Tipo de conteúdo: aplicação/json {“next-action”:”‘$@’malicious_payload”,”status”:”resolved_model”}
Assim que a carga chegar, o servidor pode gerar comandos shell, tocar em arquivos em / ‘tmp’ ou abrir novas conexões de saída do processo do Node.
Muitas explorações públicas foram quebradas, mas os invasores ainda as disparam em grande escala, enchendo os logs de ruído e ocultando cadeias de trabalho.
As equipes devem procurar esses cabeçalhos e padrões, além de processos filhos estranhos do Node(.)js; isso destaca esses sinais para revisão rápida pelos respondentes de incidentes.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
