Uma vulnerabilidade crítica foi identificada no React, uma das bibliotecas JavaScript mais utilizadas globalmente. Esta falha, conhecida como CVE-2025-55182 e apelidada de React2Shell, está sendo ativamente explorada por grupos de hackers e permite a execução remota de código sem necessidade de autenticação.
Divulgada publicamente em dezembro de 2025, a falha começou a ser explorada por cibercriminosos em poucas horas. Dada a sua extrema gravidade, recebeu a pontuação máxima de CVSS 10.0. A CISA, agência de cibersegurança dos EUA, já incluiu a React2Shell em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV).
A vulnerabilidade reside nos Componentes de Servidor React (RSC), um recurso crucial para a troca de estados entre servidor e cliente. Especificamente, uma falha no processo de desserialização do protocolo Flight possibilita que atacantes enviem uma carga útil maliciosa para o endpoint de Funções do Servidor, executando código arbitrário sem qualquer autenticação prévia.
O impacto desta falha se estende a todo o ecossistema React, uma vez que o RSC é amplamente utilizado por diversos frameworks, incluindo Next.js, React Router RSC, Waku, Vite RSC Plugin, Parcel RSC Plugin e RedwoodJS. A complexidade aumenta em frameworks como Next.js, que incorporam módulos React internamente, significando que uma atualização apenas do React pode não ser suficiente para mitigar o risco.
Globalmente, pesquisadores já identificaram mais de 116 mil endereços IP vulneráveis, com mais de 80 mil localizados apenas nos Estados Unidos. Embora não haja dados específicos para o Brasil, desenvolvedores na região devem permanecer em alerta máximo.
A Palo Alto Networks confirmou que dezenas de organizações já foram comprometidas. Os invasores visam principalmente o roubo de arquivos de configuração da AWS, credenciais e outras informações sensíveis. Em 5 de dezembro, a Cloudflare enfrentou uma interrupção global de serviços devido a medidas emergenciais para conter a exploração da vulnerabilidade.
A periculosidade da React2Shell é amplificada pela disponibilidade pública de códigos de prova de conceito (PoC). Isso permite que mesmo indivíduos com conhecimentos básicos tentem explorar a falha, facilitando ataques automatizados em larga escala.
A equipe de segurança da Amazon Web Services (AWS) foi uma das primeiras a emitir alertas sobre a exploração ativa da falha. Grupos cibercriminosos chineses como Earth Lamia e Jackpot Panda iniciaram seus ataques poucas horas após a divulgação da vulnerabilidade.
O Grupo de Inteligência de Ameaças do Google (GTIG) identificou pelo menos cinco grupos adicionais de ciberespionagem chinesa envolvidos nos ataques:
- UNC6600: implanta o software de tunelamento MINOCAT;
- UNC6586: utiliza o downloader SNOWLIGHT;
- UNC6588: distribui o backdoor COMPOOD;
- UNC6603: opera uma versão atualizada do backdoor HISONIC;
- UNC6595: emprega o Trojan de Acesso Remoto ANGRYREBEL.LINUX.
Pesquisadores do GTIG também documentaram intensas discussões sobre a CVE-2025-55182 em fóruns clandestinos, onde hackers trocam ferramentas de varredura, códigos PoC e experiências de exploração.
Além dos grupos chineses, atores de ameaças iranianos também foram identificados explorando a falha. Cibercriminosos com motivação financeira têm aproveitado a oportunidade para implantar o software de mineração de criptomoedas XMRig em sistemas vulneráveis, transformando servidores comprometidos em máquinas de mineração sem o consentimento dos proprietários.
A plataforma GreyNoise registrou mais de 670 endereços IP tentando explorar a React2Shell nas últimas 24 horas. As principais origens desses ataques incluem Estados Unidos, Índia, França, Alemanha, Holanda, Cingapura, Rússia, Austrália, Reino Unido e China.
A detecção desta vulnerabilidade não é trivial, visto que métodos tradicionais baseados em banners de produtos ou análise de conteúdo HTML são ineficazes, pois os componentes RSC não são expostos externamente por design.
O método mais confiável para identificar servidores vulneráveis é por meio de um padrão específico nos cabeçalhos de resposta HTTP. Sistemas com RSC habilitado exibem consistentemente os valores Vary: RSC, Next-Router-State-Tree em suas respostas.
Ferramentas especializadas, como o Criminal IP, auxiliam empresas a mapear sua superfície de ataque. Uma análise recente, utilizando o padrão de cabeçalho como indicador, identificou 109.487 ativos com RSC habilitado apenas nos Estados Unidos.
Como se Proteger
O patch oficial para a vulnerabilidade está disponível nas versões 19.0.1, 19.1.2 e 19.2.1 dos pacotes react-server-dom-*. Contudo, a correção não é automática para todos os frameworks. Para proteger seus sistemas, as empresas podem adotar as seguintes ações:
- Atualizar pacotes React: Garanta que
react-server-dom-webpackesteja nas versões 19.0.1, 19.1.2 ou 19.2.1; e quereact-server-dom-parcelereact-server-dom-turbopackestejam na versão 19.0.1 ou superior. - Verificar patches específicos de frameworks: Devido à incorporação interna do RSC em frameworks como Next.js, é crucial consultar os avisos de segurança de cada framework e realizar as atualizações para as versões corrigidas.
- Restringir acesso aos endpoints RSC: Utilize proxy reverso, WAF (Web Application Firewall) ou gateway de autenticação para minimizar a exposição externa.
- Implementar monitoramento contínuo: Acompanhe a exposição de cabeçalhos relacionados ao RSC, configure o bloqueio automático de IPs maliciosos e detecte tentativas de varredura.
