Uma vulnerabilidade crítica no React, uma das bibliotecas JavaScript mais populares do mundo, está sendo explorada ativamente por grupos de hackers patrocinados pela China. A CVE-2025-55182, apelidada de React2Shell, permite a execução remota de código sem necessidade de autenticação.
A falha foi divulgada publicamente em dezembro de 2025 e, em poucas horas, já estava sendo explorada por cibercriminosos. A gravidade é tão alta que a vulnerabilidade recebeu pontuação máxima, a CVSS 10.0. A CISA, agência de cibersegurança dos Estados Unidos, adicionou a React2Shell ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV).
smart_display
Nossos vídeos em destaque
Vulnerabilidade explora falha no RSC
O problema está nos Componentes de Servidor React (RSC), um recurso que permite a troca de estados entre servidor e cliente. Uma falha no processo de desserialização do protocolo Flight permite que atacantes enviem uma carga útil maliciosa para o endpoint de Funções do Servidor e executem código arbitrário – tudo isso sem precisar de autenticação.
O impacto não se limita a um único framework. Como o RSC é usado por Next.js, React Router RSC, Waku, Vite RSC Plugin, Parcel RSC Plugin e RedwoodJS, todo o ecossistema React está vulnerável. Frameworks como Next.js, que incorporam módulos React internamente, tornam a situação ainda mais complexa, já que atualizar apenas o React pode não resolver o problema.
Brasileiros não estão imunes
Pesquisadores identificaram mais de 116 mil endereços IP vulneráveis ao redor do mundo, sendo mais de 80 mil apenas nos Estados Unidos. Não há nenhum dado específico sobre número de endereços afetados no Brasil, por isso, desenvolvedores da região devem ficar atentos.
A Palo Alto Networks confirmou que dezenas de organizações já foram comprometidas. Os atacantes estão focando no roubo de arquivos de configuração da AWS, credenciais e outras informações sensíveis. Em 5 de dezembro, a Cloudflare chegou a sofrer uma interrupção global de serviços devido a mitigações emergenciais implementadas para conter a exploração da vulnerabilidade.
O que torna a React2Shell ainda mais perigosa é a disponibilidade pública de códigos de prova de conceito (PoC). Isso significa que qualquer pessoa com conhecimentos básicos pode tentar explorar a falha, facilitando ataques automatizados em larga escala.
Grupos cibercriminosos chineses atuam na vulnerabilidade
A equipe de segurança da Amazon Web Services (AWS) foi uma das primeiras a alertar sobre a exploração ativa. Os grupos chineses Earth Lamia e Jackpot Panda começaram os ataques em questão de horas após a divulgação da vulnerabilidade.
O Grupo de Inteligência de Ameaças do Google (GTIG) identificou pelo menos cinco grupos adicionais de ciberespionagem chinesa se juntando aos ataques. Entre eles:
- UNC6600: implantou o software de tunelamento MINOCAT;
- UNC6586: usa o downloader SNOWLIGHT;
- UNC6588: distribui o backdoor COMPOOD;
- UNC6603: opera uma versão atualizada do backdoor HISONIC;
- UNC6595: utiliza o Trojan de Acesso Remoto ANGRYREBEL.LINUX.
Pesquisadores do GTIG também observaram discussões intensas sobre a CVE-2025-55182 em fóruns clandestinos, onde hackers compartilham ferramentas de varredura, códigos PoC e experiências de exploração.
Além dos grupos chineses, atores de ameaças iranianos também foram detectados mirando a falha. Criminosos com motivação financeira aproveitaram a oportunidade para implantar software de mineração de criptomoedas XMRig em sistemas vulneráveis, transformando servidores comprometidos em máquinas de mineração sem o conhecimento dos proprietários.
O GreyNoise registrou mais de 670 endereços IP tentando explorar a React2Shell nas últimas 24 horas. As tentativas de ataque partem principalmente de Estados Unidos, Índia, França, Alemanha, Holanda, Cingapura, Rússia, Austrália, Reino Unido e China.
A detecção da vulnerabilidade não é simples. Métodos tradicionais baseados em banners de produtos ou análise de conteúdo HTML não funcionam adequadamente, pois os componentes RSC não são expostos externamente por design.
O método mais confiável é identificar servidores pelo padrão específico nos cabeçalhos de resposta HTTP. Sistemas com RSC habilitado exibem consistentemente os valores “Vary: RSC, Next-Router-State-Tree” em suas respostas.
Ferramentas especializadas como o Criminal IP permitem que empresas mapeiem sua superfície de ataque. Uma análise recente identificou 109.487 ativos com RSC habilitado apenas nos Estados Unidos, usando esse padrão de cabeçalho como indicador.
Como se proteger
O patch oficial está disponível nas versões 19.0.1, 19.1.2 e 19.2.1 dos pacotes react-server-dom-*. No entanto, a correção não é automática para todos os frameworks. Para se proteger, empresas podem começar com ações como:
- Atualizar pacotes React: react-server-dom-webpack deve ir para versão 19.0.1, 19.1.2 ou 19.2.1; react-server-dom-parcel e react-server-dom-turbopack precisam da versão 19.0.1 ou superior;
- Verificar patches específicos de frameworks: como Next.js incorpora o RSC internamente, é essencial consultar os avisos de segurança de cada framework e atualizar para versões corrigidas;
- Restringir acesso aos endpoints RSC: usar proxy reverso, WAF (Web Application Firewall) ou gateway de autenticação para minimizar exposição externa;
- Implementar monitoramento contínuo: acompanhar exposição de cabeçalhos relacionados ao RSC, bloquear IPs maliciosos automaticamente e detectar tentativas de varredura.
Para mais atualizações como essa, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.