Vulnérabilité React2Shell : Faille de Gravité Maximale dans les Composants Serveur React Exploitée Activement par les Groupes Soutenus par la Chine

Une nouvelle faille de gravité maximale (avec un score CVSS de 10,0) dans React Server Components (RSC), surnommée React2shell, provoque une agitation dans le paysage des cybermenaces, peu après l’exploitation récente de deux vulnérabilités graves du cadre Android (CVE-2025-48633 et CVE-2025-48572). Les défenseurs ont observé que plusieurs groupes soutenus par l’État chinois exploitent la vulnérabilité React2Shell, ce qui permet RCE, mettant en danger les déploiements vulnérables. 

Depuis des années, la Chine mène des opérations cyber offensives ciblant les organisations américaines et internationales dans divers secteurs, utilisant souvent des groupes APT liés à l’État comme Mustang Panda or APT41 pour collecter des renseignements et des données sensibles. 

Depuis un demi-décennie, les opérations cyber soutenues par l’État chinois ont de plus en plus mis l’accent sur la discrétion et la sécurité opérationnelle, créant un paysage de menaces plus complexe et difficile pour les organisations de divers secteurs, y compris le secteur public, ainsi que pour la communauté mondiale de la cybersécurité. Les groupes APT liés à la Chine restent les acteurs parrainés par l’État les plus rapides et les plus actifs, utilisant souvent de nouvelles exploits presque immédiatement après leur divulgation. Le rapport mondial sur les menaces de CrowdStrike 2025 indique que les acteurs de la menace liés à la Chine ont augmenté leurs opérations cyber parrainées par l’État de 150 %.

Inscrivez-vous à la Plateforme SOC Prime, la plateforme d’intelligence de détection native de l’IA pour les équipes SOC pour aider votre organisation à prévenir les menaces émergentes de toute sophistication, les attaques APT avancées, et les campagnes d’exploitation de vulnérabilités en évolution. Cliquez Explorer les détections pour accéder à une collection complète de contenu SOC pour l’exploitation de vulnérabilités, intelligemment filtrée par un tag personnalisé « CVE ».

Explorer les détections

Toutes les détections peuvent être appliquées à divers systèmes SIEM, EDR et Data Lake et sont mappées sur le cadre MITRE ATT&CK® . Elles sont également enrichies d’intelligence de détection native de l’IA et de métadonnées exploitables, y compris des références CTI, des chronologies d’attaques, des configurations d’audit, des recommandations de triage pour une recherche simplifiée des menaces et une analyse CTI, aidant les équipes à améliorer l’efficacité opérationnelle.

Les équipes de sécurité peuvent également s’appuyer sur Uncoder AI pour accélérer les flux de travail d’ingénierie de détection de bout en bout et profiter de la conversion IOC automatisée en requêtes de chasse personnalisées, de la génération automatique de logique de détection directement à partir des rapports de menace, de la visualisation des flux d’attaques, de la prédiction des tags ATT&CK, et de contenus assistés par l’AI dans plusieurs formats linguistiques – le tout dans une seule solution. 

Analyse de la vulnérabilité React2Shell

Les défenseurs ont récemment découvert une nouvelle vulnérabilité de gravité maximale dans React Server Components suivie sous le nom CVE-2025-55182, alias React2Shell, qui affecte React 19.x et Next.js 15.x/16.x avec App Router. Cette faille RCE pré-authentification a été signalée de manière responsable à Meta par Lachlan Davidson, avec React et Vercel publiant conjointement des correctifs le 3 décembre 2025. Des exploits PoC publics ont émergé environ 30 heures après la divulgation, suivi de près par les propres PoC du chercheur. 

React2Shell provient d’une désérialisation non sécurisée de charges utiles envoyées via des requêtes HTTP vers des points de terminaison Server Function. Cette faille logique de désérialisation dans le traitement des charges utiles RSC permet à un attaquant non authentifié d’envoyer une requête HTTP fabriquée à tout point de terminaison Server Function, ce que React désérialise ensuite, permettant l’exécution de code JavaScript arbitraire sur le serveur.

Les équipes de renseignement sur les menaces Amazon rapportent que des collectifs soutenus par l’État chinois, tant des groupes établis que des grappes auparavant inconnues, incluant Earth Lamia et Jackpot Panda, tentent déjà de militariser la faille, ce qui permet un RCE non authentifié grâce à une gestion non sécurisée des charges utiles RSC. 

Les adversaires utilisent à la fois des scanners automatisés et des PoC exécutés manuellement, certains outils utilisant des tactiques d’évasion comme des agents d’utilisateur randomisés. Leur activité s’étend bien au-delà de CVE-2025-55182, le suivi par Amazon montrant les mêmes groupements chinois exploitant d’autres vulnérabilités récentes, telles que CVE-2025-1338. Cela souligne un modèle systématique, dans lequel les adversaires suivent les nouvelles divulgations, intègrent immédiatement les exploits publics dans leurs outils, et lancent de larges campagnes à travers plusieurs CVE à la fois pour maximiser la portée des cibles.

Notamment, de nombreux adversaires s’appuient sur des PoC publiés qui ne fonctionnent pas dans des déploiements réels. La communauté GitHub a signalé de nombreux exemples qui mal interprètent la vulnérabilité, y compris des démonstrations qui inscrivent incorrectement des modules dangereux ou restent exploitables même après correctif. Pourtant, les attaquants continuent de les utiliser, soulignant des tendances comportementales claires, telles que l’adoption rapide sur la validation, le balayage en grand volume, des faibles barrières à l’entrée dues à la disponibilité publique des exploits, et un bruit de journalisation qui peut masquer des attaques plus ciblées.

La télémétrie AWS MadPot confirme que les adversaires itèrent de manière persistante sur leurs tentatives d’exploitation. La grappe non attribuée (IP 183[.]6.80.214) a passé près d’une heure le 4 décembre à tester de manière répétée des charges utiles, émettant plus de 100 requêtes sur 52 minutes, exécutant des commandes Linux, tentant des écritures de fichier vers /tmp/pwned.txt, et essayant de lire /etc/passwd. Cela démontre que les attaquants ne se contentent pas de lancer des analyses automatisées, mais qu’ils déboguent activement et affinent les techniques contre des systèmes en direct.

Notamment, la menace impacte également les applications Next.js utilisant App Router. Initialement assignée CVE-2025-66478 avec un score CVSS de 10,0, elle a depuis été marquée par le NIST NVD comme un doublon de la vulnérabilité React2Shell.

Wiz a signalé que 39 % des environnements cloud ont des systèmes susceptibles à CVE-2025-55182 et CVE-2025-66478. Bien que les services AWS ne soient pas affectés, étant donné la nature critique des deux vulnérabilités, les utilisateurs sont fortement incités à appliquer les correctifs immédiatement pour garantir une protection maximale.

Les organisations exécutant React ou Next.js sur EC2, dans des conteneurs, ou dans d’autres environnements auto-gérés, devraient appliquer les mises à jour sans délai. Pour minimiser les risques d’exploitation de React2Shell, mettez immédiatement à jour les applications React et Next.js affectées en suivant le Bulletin de sécurité AWS pour les versions corrigées. Comme mesure intérimaire, il est recommandé aux défenseurs de déployer la règle WAF AWS personnalisée fournie dans le bulletin pour bloquer les tentatives d’exploitation. 

Pendant ce temps, Cloudflare a annoncé avoir mis en œuvre une nouvelle protection dans son WAF basé sur le cloud comme étape potentielle de mitigation de React2Shell. Selon l’entreprise, tous les clients, tant gratuits que payants, sont protégés, à condition que leur trafic d’application React soit acheminé à travers le proxy de Cloudflare.

Alors que le nombre de vulnérabilités exploitées activement continue d’augmenter, les organisations tournées vers l’avenir donnent la priorité à des défenses cyber proactives pour assurer des postures de sécurité solides et résilientes. La plateforme d’intelligence de détection native de l’IA de SOC Prime aide les organisations à élever leurs défenses cyber à grande échelle en tirant parti des technologies IA et de l’expertise de cybersécurité de premier plan tout en maximisant l’efficacité des ressources.