Dezvoltatorii și administratorii de aplicații web construite cu React și Next.js trebuie să fie conștienți că, la scară globală, mai multe grupări asociate Chinei au început să profite de o vulnerabilitate gravă denumită React2Shell. Exploatarea a fost observată imediat după publicarea problemei și a fost raportată de echipe de securitate din cloud, inclusiv Amazon Web Services. Incidentul amintește de precedentele cazuri de deserializare nesigură care, de-a lungul timpului, au permis execuția de cod pe server când date nesigure erau procesate.
React2Shell este o defecțiune de deserializare nesecurizată în protocolul Flight folosit de React Server Components. Exploatarea nu necesită autentificare și poate conduce la execuție de cod JavaScript în contextul serverului, oferind astfel multiple oportunități atacatorilor. Pentru Next.js a fost emis un alt identificator, CVE-2025-66478, dar acesta a fost tratat ca duplicat și eliminat din lista NVD, rămânând oficial CVE-2025-55182. Problema afectează numeroase versiuni ale bibliotecii răspândite, iar publicarea rapidă a unor proof-of-concept a crescut semnificativ probabilitatea utilizării în atacuri reale.
Cercetătorii de la Wiz estimează că, în mediile cloud pe care le monitorizează, aproximativ 39% dintre instanțe sunt vulnerabile la React2Shell. React și Next.js au lansat remedieri de securitate, însă specialiștii avertizează că vulnerabilitatea se exploatează foarte ușor chiar și în configurațiile implicite, astfel încât este necesară o verificare promptă a mediilor afectate. La doar câteva ore după dezvăluirea din 3 decembrie 2025, AWS a raportat atacuri active provenind de la grupări cu legături în China, între care Earth Lamia și Jackpot Panda. Honeypot-urile AWS au înregistrat și alte activități ce implicau infrastructură localizată în China, dar neatribuită unor clusteri cunoscuți; multe dintre aceste clusteruri folosesc aceeași infrastructură de anonimizare, ceea ce complică stabilirea responsabilităților.
Earth Lamia se specializează în exploatarea vulnerabilităților din aplicații web și vizează în special organizații din sectorul financiar, logistică, retail, companii IT, universități și instituții guvernamentale din America Latină, Orientul Mijlociu și Asia de Sud-Est. Jackpot Panda se concentrează pe Asia de Est și Sud-Est și caută informații legate de corupție și securitate internă. Analiza atacurilor arată că actorii nu se limitează la scanări automate: ei combină exploituri publice, unele nefuncționale, cu testare manuală și debugging în timp real asupra țintelor. Printre tehnicile observate se numără rularea unor comenzi Linux simple precum whoami și id, încercări de creare a fișierului /tmp/pwned.txt și tentative de citire a /etc/passwd, semne clare că payload-urile sunt ajustate pe baza rezultatelor din mediul vizat.
Cercetătorul Lachlan Davidson a descoperit vulnerabilitatea și a avertizat asupra apariției unor exploituri false online. În paralel, cercetători de la Rapid7 și Elastic Security au confirmat existența unor exploituri valide publicate pe GitHub. Observațiile AWS sugerează că atacatorii folosesc combinația de materiale publice și explorare manuală pentru a perfecționa exploatarea, nu doar pentru a lansa scanări automate. Ca reacție, platforma Assetnote a pus la dispoziție pe GitHub un scanner pentru React2Shell, instrument util pentru a determina dacă un mediu este vulnerabil.
React2Shell este exploatată la scurt timp după dezvăluirea publică, ilustrând cât de repede o problemă tehnică devine un vector utilizat de grupări organizate. Prezența CVE-2025-55182, observațiile AWS din 3 decembrie 2025 și cifra de 39% raportată de Wiz subliniază necesitatea scanărilor active și a aplicării rapide a patch-urilor, iar instrumente precum scannerul Assetnote pot accelera identificarea riscurilor. În practică, asta înseamnă verificarea versiunilor React și Next.js folosite, aplicarea patch-urilor disponibile și monitorizarea încercărilor de execuție neautorizată documentate (de exemplu rulări whoami sau accesări ale fișierului /etc/passwd).
Ai verificat deja dacă proiectele tale sau ale organizației folosesc versiuni afectate de React2Shell?
Fii primul care comentează