CRÍTICO: A vulnerabilidade CVE-2025-55182 (React2Shell) possui pontuação CVSS 10.0 e está sendo ativamente explorada. Atualize suas aplicações React imediatamente.
A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou formalmente uma falha de segurança crítica que afeta os React Server Components (RSC) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) após relatos de exploração ativa em ambiente real.
A vulnerabilidade, CVE-2025-55182 CVSS 10.0, refere-se a um caso de execução remota de código (RCE) que pode ser acionada por um atacante não autenticado sem exigir nenhuma configuração especial. É também rastreada como React2Shell.
"Os React Server Components da Meta contêm uma vulnerabilidade de execução remota de código que poderia permitir a execução remota de código não autenticada explorando uma falha em como o React decodifica os payloads enviados para os endpoints da Função do Servidor React", disse a CISA em um comunicado.
Análise Técnica da Vulnerabilidade
O problema decorre da desserialização insegura no protocolo Flight da biblioteca, que o React usa para comunicação entre servidor e cliente. Isso leva a um cenário onde um atacante remoto não autenticado pode executar comandos arbitrários no servidor enviando solicitações HTTP especialmente criadas.
Martin Zugec, diretor de soluções técnicas da Bitdefender: "O processo de converter texto em objetos é amplamente considerado uma das classes mais perigosas de vulnerabilidades de software. A vulnerabilidade React2Shell reside no pacote react-server, especificamente em como ele analisa as referências de objeto durante a desserialização."
Versões Corrigidas
A vulnerabilidade foi corrigida nas seguintes versões das bibliotecas React:
Versões corrigidas: 19.0.1, 19.1.2, 19.2.1
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
Frameworks Impactados
Algumas das estruturas downstream que dependem do React também são afetadas:
Exploração Ativa Confirmada
O desenvolvimento ocorre depois que a Amazon relatou que observou tentativas de ataques originadas de infraestrutura associada a grupos de hacking chineses como Earth Lamia e Jackpot Panda dentro de horas da divulgação pública da falha.
Coalition, Fastly, GreyNoise, VulnCheck e Wiz também relataram ver esforços de exploração direcionados à falha, indicando que múltiplos atores de ameaças estão envolvidos em ataques oportunistas.
Dados de Exposição
De acordo com dados da plataforma Censys, existem aproximadamente 2.15 milhões de instâncias de serviços voltados para a internet que podem ser afetados por esta vulnerabilidade.
Táticas dos Ataques Observados
Alguns dos ataques observados envolvem:
- Implantação de mineradores de criptomoeda
- Execução de comandos PowerShell "cheap math" para verificar exploração bem-sucedida
- Execução de comandos para baixar in-memory downloaders
- Recuperação de payloads adicionais de servidores remotos
Observações da Palo Alto Networks Unit 42
Em declaração ao The Hacker News, a Palo Alto Networks Unit 42 confirmou mais de 30 organizações afetadas em diversos setores, com atividades consistentes com o grupo chinês UNC5174 (CL-STA-1015).
Recomendações de Mitigação
AÇÃO IMEDIATA REQUERIDA:
- Atualize todas as bibliotecas React para as versões corrigidas (19.0.1, 19.1.2 ou 19.2.1)
- Verifique se frameworks dependentes (Next.js, React Router, etc.) estão atualizados
- Monitore logs para tentativas de exploração do CVE-2025-55182
- Agencias federais dos EUA têm até 26/12/2025 para aplicar patches (BOD 22-01)
Responsável pela Descoberta
O pesquisador de segurança Lachlan Davidson, que descobriu e reportou a falha, liberou múltiplos exploits de prova de conceito (PoC). Outro PoC funcional foi publicado pelo pesquisador taiwanês maple3142 no GitHub.
VEREDITO: React2Shell é uma vulnerabilidade crítica (CVSS 10.0) com exploração ativa confirmada. Todas as organizações utilizando React Server Components devem priorizar a aplicação dos patches imediatamente. A janela entre divulgação e exploração foi de horas, não dias.