Vulnerabilidade React2Shell: Falha de Máxima Severidade nos Componentes do Servidor React Ativamente Explorados por Grupos Apoiados pela China

Uma nova falha de gravidade máxima (com uma pontuação CVSS de 10.0) no React Server Components (RSC), apelidada de React2shell, está causando alvoroço no cenário de ameaças cibernéticas, logo após a recente exploração de duas vulnerabilidades de alta gravidade no Android Framework (CVE-2025-48633 e CVE-2025-48572). Defensores observaram que vários grupos apoiados pela nação chinesa exploram a vulnerabilidade React2Shell, o que permite RCE, colocando implantações vulneráveis em risco significativo. 

Por anos, a China tem conduzido operações cibernéticas ofensivas alvejando organizações dos EUA e internacionais em diversos setores, frequentemente aproveitando grupos APT vinculados ao Estado-nação, como Mustang Panda or APT41 para coletar inteligência e dados sensíveis. 

Por meia década, as operações cibernéticas apoiadas pelo Estado da China têm enfatizado cada vez mais a discrição e a segurança operacional, criando um cenário de ameaças mais complexo e desafiador para organizações de vários setores, incluindo o setor público, bem como para a comunidade global de segurança cibernética. Grupos APT ligados à China permanecem os atores patrocinados pelo Estado mais rápidos e ativos, frequentemente armando novas explorações quase imediatamente após a divulgação. O Relatório Global de Ameaças da CrowdStrike 2025 indica que os agentes de ameaça ligados à China aumentaram as operações cibernéticas patrocinadas pelo Estado em 150%.

Inscreva-se na Plataforma do SOC Prime, a Plataforma de Inteligência de Detecção Nativa de IA para equipes SOC, para ajudar sua organização a antecipar ameaças emergentes de qualquer sofisticação, ataques APT avançados e campanhas de exploração de vulnerabilidades em evolução. Clique em Explorar Detecções para acessar uma coleção abrangente de conteúdo SOC para exploração de vulnerabilidades, inteligentemente filtrada por uma tag personalizada “CVE”.

Explorar Detecções

Todas as detecções podem ser aplicadas em diversos sistemas SIEM, EDR e Data Lake e são mapeadas para o framework MITRE ATT&CK® . Elas também são enriquecidas com inteligência de detecção nativa de IA e metadados acionáveis, incluindo referências CTI, cronogramas de ataque, configuração de auditoria, recomendações de triagem para uma pesquisa de ameaças e análise CTI simplificadas, ajudando as equipes a aumentar a eficiência operacional.

As equipes de segurança também podem contar com Uncoder AI para acelerar fluxos de trabalho de engenharia de detecção de ponta a ponta e aproveitar a conversão automatizada de IOC em consultas de caça personalizadas, geração automatizada de lógica de detecção diretamente de relatórios de ameaças, visualização de fluxo de ataques, previsão de tags ATT&CK e conteúdo assistido por IA em vários formatos de linguagem — tudo em uma única solução. 

Análise da Vulnerabilidade React2Shell

Defensores recentemente descobriram uma nova vulnerabilidade de gravidade máxima nos React Server Components rastreada como CVE-2025-55182, também conhecida como React2Shell, que afeta o React 19.x e Next.js 15.x/16.x com App Router. Essa falha de RCE pré-autenticação foi responsável e imediatamente reportada à Meta por Lachlan Davidson, com React e Vercel emitindo conjuntamente patches em 3 de dezembro de 2025. PoCs públicos de exploração surgiram cerca de 30 horas após a divulgação, seguidos logo depois pelos próprios PoCs do pesquisador. 

React2Shell surge da desserialização insegura de cargas úteis enviadas via requisições HTTP para endpoints de Função do Servidor. Essa falha lógica de desserialização no processamento de cargas RSC permite que um invasor não autenticado envie uma requisição HTTP elaborada para qualquer endpoint de Função do Servidor, que o React então desserializa, permitindo a execução de código JavaScript arbitrário no servidor.

As equipes de inteligência de ameaças da Amazon relatam que coletivos patrocinados pelo Estado ligado à China, tanto clusters estabelecidos quanto desconhecidos anteriormente, incluindo Earth Lamia e Jackpot Panda, já estão tentando armar a falha, que permite RCE não autenticada através do manuseio inseguro de cargas RSC. 

Os adversários estão aproveitando tanto scanners automatizados como PoCs executados manualmente, com algumas ferramentas usando táticas de evasão como agentes de usuários randomizados. Sua atividade se estende bem além do CVE‑2025‑55182, com o monitoramento da Amazon mostrando que os mesmos clusters chineses estão explorando outras vulnerabilidades recentes, como CVE‑2025‑1338. Isso destaca um modelo sistemático, em que os adversários acompanham novas divulgações, incorporam imediatamente explorações públicas em suas ferramentas e lançam campanhas amplas através de múltiplos CVEs de uma vez para maximizar o alcance do alvo.

Notavelmente, muitos adversários se apoiam em PoCs postados publicamente que não funcionam em implantações reais. A comunidade GitHub sinalizou vários exemplos que interpretam erroneamente a vulnerabilidade, incluindo demos que registram inadequadamente módulos perigosos ou permanecem exploráveis mesmo após a aplicação dos patches. No entanto, os atacantes continuam a usá-los, destacando tendências de comportamento claras, como rápida adoção sobre validação, alta quantidade de varreduras, barreiras baixas de entrada devido à disponibilidade de explorações públicas e ruído nos logs que pode obscurecer ataques mais direcionados.

A telemetria MadPot da AWS confirma que os adversários estão iterando persistentemente em suas tentativas de exploração. O cluster não atribuído (IP 183[.]6.80.214) passou quase uma hora em 4 de dezembro testando repetidamente cargas, emitindo mais de 100 requisições em 52 minutos, executando comandos Linux, tentando escrever arquivos para /tmp/pwned.txt, e tentando ler /etc/passwd. Isso demonstra que os atacantes não estão apenas disparando varreduras automatizadas, mas estão ativamente depurando e refinando técnicas contra sistemas ao vivo.

Notavelmente, a ameaça também impacta aplicações Next.js usando App Router. Originalmente atribuída CVE‑2025‑66478 com uma pontuação CVSS de 10.0, desde então foi marcada pelo NIST NVD como uma duplicata da vulnerabilidade React2Shell.

A Wiz relatou que 39% dos ambientes em nuvem têm sistemas suscetíveis a CVE‑2025‑55182 e CVE‑2025‑66478. Embora os serviços da AWS não sejam impactados, dada a natureza crítica de ambas as vulnerabilidades, os usuários são fortemente recomendados a aplicar patches imediatamente para garantir proteção máxima.

Organizações que executam React ou Next.js em EC2, em contêineres ou em outros ambientes autogeridos devem aplicar atualizações sem demora. Para minimizar os riscos de exploração da React2Shell, atualize imediatamente as aplicações React e Next.js afetadas, seguindo o Boletim de Segurança da AWS para versões corrigidas. Como medida provisória, recomenda-se que os defensores implantem a regra personalizada do AWS WAF fornecida no boletim para bloquear tentativas de exploração. 

Enquanto isso, a Cloudflare anunciou que implementou uma nova proteção no seu WAF baseado em nuvem como um passo potencial de mitigação para React2Shell. Segundo a empresa, todos os clientes, tanto gratuitos quanto pagos, estão protegidos, desde que o tráfego da aplicação React passe pelo proxy da Cloudflare.

À medida que o número de vulnerabilidades ativamente exploradas continua a aumentar, organizações visionárias estão priorizando defesas cibernéticas proativas para garantir posturas de segurança fortes e resilientes. A Plataforma de Inteligência de Detecção Nativa de IA do SOC Prime ajuda as organizações a elevar suas defesas cibernéticas em escala, capacitando tecnologias de IA e a melhor expertise em cibersegurança, enquanto maximiza a eficácia dos recursos.