A agência americana Cybersecurity and Infrastructure Security Agency (CISA) recomendou que órgãos federais corrijam a vulnerabilidade conhecida como React2Shell até 12 de dezembro de 2025, diante de relatos sobre ampla exploração da falha.
Essa vulnerabilidade crítica, identificada como
CVE-2025-55182
e com pontuação máxima de 10,0 na escala CVSS, afeta o protocolo Flight dos React Server Components (RSC).
O problema decorre de uma desserialização insegura, que permite a um invasor injetar código malicioso executado pelo servidor com privilégios elevados.
Além do React, outras frameworks também são impactadas, incluindo Next.js, Waku, Vite, React Router e RedwoodSDK.
Segundo a equipe de inteligência de ameaças da Cloudflare, Cloudforce One, “uma única requisição HTTP especialmente criada é suficiente para explorar a falha; não há necessidade de autenticação, interação do usuário ou permissões elevadas”.
Após a exploração, o atacante pode executar JavaScript arbitrário com privilégios no servidor comprometido.
Desde sua divulgação pública em 3 de dezembro de 2025, diversos grupos maliciosos vêm explorando a vulnerabilidade em campanhas de reconhecimento e distribuição de diferentes malwares.
Em resposta, a CISA incluiu o problema em seu catálogo Known Exploited Vulnerabilities na sexta-feira passada, inicialmente estipulando o prazo para aplicação dos patches até 26 de dezembro.
No entanto, a data foi antecipada para 12 de dezembro, reforçando a gravidade da situação.
A empresa de segurança em nuvem Wiz observou uma “rápida onda de exploração oportunista”, com a maioria dos ataques focados em aplicações Next.js expostas na internet e cargas de trabalho containerizadas executando em Kubernetes e serviços gerenciados em nuvem.
A Cloudflare, também monitorando as atividades maliciosas, revelou que os atacantes utilizam plataformas de varredura e discovery para detectar sistemas vulneráveis rodando React e Next.js.
Curiosamente, algumas buscas omitiram endereços IP da China.
Os alvos mais visados estão localizados em redes de Taiwan, Xinjiang Uyghur, Vietnã, Japão e Nova Zelândia — regiões associadas a prioridades geopolíticas de coleta de inteligência, segundo a empresa.
Além disso, os ataques atingiram seletivamente sites governamentais (.gov), instituições acadêmicas e operadores de infraestrutura crítica, incluindo uma autoridade nacional vinculada à importação e exportação de urânio, metais raros e combustível nuclear.
Outras descobertas relevantes incluem:
- Prioridade para alvos tecnológicos sensíveis, como gerenciadores de senha corporativos e serviços de cofres seguros, possivelmente para viabilizar ataques à cadeia de suprimentos;
- Ataques a appliances SSL VPN com interface administrativa baseada em React;
- As primeiras tentativas de escaneamento e exploração partiram de IPs associados a grupos ameaçadores do continente asiático.
Na análise de dados de honeypots, a Kaspersky registrou mais de 35 mil tentativas de exploração em apenas um dia, 10 de dezembro de 2025.
Os invasores iniciaram testes com comandos como “whoami” para sondar o sistema antes de instalar mineradores de criptomoedas ou malwares de botnet, como variantes Mirai/Gafgyt e RondoDox.
O pesquisador de segurança Rakesh Krishnan identificou um diretório aberto no endereço “154.61.77[.]105:8082” contendo um script proof-of-concept (PoC) para o
CVE-2025-55182
, além de dois arquivos:
- “domains.txt”, com uma lista de 35.423 domínios;
- “next_target.txt”, com 596 URLs, incluindo empresas como Dia Browser, Starbucks, Porsche e Lululemon.
Avalia-se que o ator desconhecido por trás da atividade está realizando varreduras ativas na internet com base nesses alvos, comprometendo centenas de páginas ao longo do processo.
Segundo dados recentes da The Shadowserver Foundation, até 11 de dezembro de 2025 havia mais de 137.200 endereços IP expostos na internet com código vulnerável.
Destes, mais de 88.900 estão nos EUA, seguidos por Alemanha (10.900), França (5.500) e Índia (3.600).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...