Ícone do site Teech

Alerta Crítico: Falha “React2Shell” no React Permite Invasão Sem Senha e Execução Remota de Código

Uma vulnerabilidade crítica foi identificada no React, uma das bibliotecas JavaScript mais utilizadas globalmente. Esta falha, conhecida como CVE-2025-55182 e apelidada de React2Shell, está sendo ativamente explorada por grupos de hackers e permite a execução remota de código sem necessidade de autenticação.

Divulgada publicamente em dezembro de 2025, a falha começou a ser explorada por cibercriminosos em poucas horas. Dada a sua extrema gravidade, recebeu a pontuação máxima de CVSS 10.0. A CISA, agência de cibersegurança dos EUA, já incluiu a React2Shell em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV).

A vulnerabilidade reside nos Componentes de Servidor React (RSC), um recurso crucial para a troca de estados entre servidor e cliente. Especificamente, uma falha no processo de desserialização do protocolo Flight possibilita que atacantes enviem uma carga útil maliciosa para o endpoint de Funções do Servidor, executando código arbitrário sem qualquer autenticação prévia.

O impacto desta falha se estende a todo o ecossistema React, uma vez que o RSC é amplamente utilizado por diversos frameworks, incluindo Next.js, React Router RSC, Waku, Vite RSC Plugin, Parcel RSC Plugin e RedwoodJS. A complexidade aumenta em frameworks como Next.js, que incorporam módulos React internamente, significando que uma atualização apenas do React pode não ser suficiente para mitigar o risco.

Globalmente, pesquisadores já identificaram mais de 116 mil endereços IP vulneráveis, com mais de 80 mil localizados apenas nos Estados Unidos. Embora não haja dados específicos para o Brasil, desenvolvedores na região devem permanecer em alerta máximo.

A Palo Alto Networks confirmou que dezenas de organizações já foram comprometidas. Os invasores visam principalmente o roubo de arquivos de configuração da AWS, credenciais e outras informações sensíveis. Em 5 de dezembro, a Cloudflare enfrentou uma interrupção global de serviços devido a medidas emergenciais para conter a exploração da vulnerabilidade.

A periculosidade da React2Shell é amplificada pela disponibilidade pública de códigos de prova de conceito (PoC). Isso permite que mesmo indivíduos com conhecimentos básicos tentem explorar a falha, facilitando ataques automatizados em larga escala.

A equipe de segurança da Amazon Web Services (AWS) foi uma das primeiras a emitir alertas sobre a exploração ativa da falha. Grupos cibercriminosos chineses como Earth Lamia e Jackpot Panda iniciaram seus ataques poucas horas após a divulgação da vulnerabilidade.

O Grupo de Inteligência de Ameaças do Google (GTIG) identificou pelo menos cinco grupos adicionais de ciberespionagem chinesa envolvidos nos ataques:

Pesquisadores do GTIG também documentaram intensas discussões sobre a CVE-2025-55182 em fóruns clandestinos, onde hackers trocam ferramentas de varredura, códigos PoC e experiências de exploração.

Além dos grupos chineses, atores de ameaças iranianos também foram identificados explorando a falha. Cibercriminosos com motivação financeira têm aproveitado a oportunidade para implantar o software de mineração de criptomoedas XMRig em sistemas vulneráveis, transformando servidores comprometidos em máquinas de mineração sem o consentimento dos proprietários.

A plataforma GreyNoise registrou mais de 670 endereços IP tentando explorar a React2Shell nas últimas 24 horas. As principais origens desses ataques incluem Estados Unidos, Índia, França, Alemanha, Holanda, Cingapura, Rússia, Austrália, Reino Unido e China.

A detecção desta vulnerabilidade não é trivial, visto que métodos tradicionais baseados em banners de produtos ou análise de conteúdo HTML são ineficazes, pois os componentes RSC não são expostos externamente por design.

O método mais confiável para identificar servidores vulneráveis é por meio de um padrão específico nos cabeçalhos de resposta HTTP. Sistemas com RSC habilitado exibem consistentemente os valores Vary: RSC, Next-Router-State-Tree em suas respostas.

Ferramentas especializadas, como o Criminal IP, auxiliam empresas a mapear sua superfície de ataque. Uma análise recente, utilizando o padrão de cabeçalho como indicador, identificou 109.487 ativos com RSC habilitado apenas nos Estados Unidos.

Como se Proteger

O patch oficial para a vulnerabilidade está disponível nas versões 19.0.1, 19.1.2 e 19.2.1 dos pacotes react-server-dom-*. Contudo, a correção não é automática para todos os frameworks. Para proteger seus sistemas, as empresas podem adotar as seguintes ações:

Sair da versão mobile