Em pouco horasuma vulnerabilidade React2Shellidentificado como CVE-2025-55182 e CVE-2025-66478passou de falha em código a vetor de ataque, agora já explorado por grupos ligados à China. Uma falha de execução remota de código (RCE) não autenticada reside no protocolo “Flight” do React Server Components (RSC) e afeta o Reagir 19 e estruturas como o Próximo.js. A exposição atinge 44% dos ambientes em nuvem com Next.js disponível publicamente. Uma necessidade de mitigação levou a uma interrupção de serviço na nuvemflare na madrugada de hoje, durante uma aplicação de medidas emergenciais de mitigação.
Leia também
Rce crítico no longwatch expõe infraestrutura
Ransomware pega fintech e leva dados de 67 bancos
Segundo relato do CTO da empresa brasileira Xlabs, Maurício Corrêa, “em menos de 24 horas após a divulgação inicial, já começamos a observar payloads de PoCs falsas circulando pela internet, sendo disparadas contra aplicações diversas. reforçar a criticidade da vulnerabilidade e a importância das camadas adicionais de proteção fornecidas pelo WAF da XLabs”.
Uma falha React2Shell possui classificação CVSS 10.0. A desserialização insegura permite que os atacantes manipulem cargas úteis e execute o código JavaScript com privilégios de servidor, não exigindo autenticação. A vulnerabilidade está presente na configuração padrão das aplicações.
Pesquisadores da AWS observaram que grupos ligados à China iniciaram a exploração da falha React2Shell logo após sua divulgação em 3 de dezembro de 2025. Os grupos Lâmia da Terra e Jackpot Panda entre os identificados.
A ação dos grupos de ameaça consiste em testes de invasão e refinamento de técnicas contra alvos. UM AWS esforcei-me para executar comandos Linux como whoami e id em ambientes comprometidos. O risco aumenta rapidamente de problema de código para ataque em campo.
A resposta do setor exigiu medidas imediatas. UM nuvemflareem 5 de dezembro de 2025implementou um patch de emergência no seu firewall de aplicação web (WAF) para bloquear o vetor de ataque. Essa implementação foi realizada na indisponibilidade do serviço da empresa, que gerou um “500 Internal Server Error” em sites no mundo. A instabilidade decorrente da correção do React2Shell demonstrar a gravidade da falha.
Uma vulnerabilidade React2Shell afetação de ambientes em nuvem onde o estrutura Próximo.js está presente em 69% das instâncias, sendo 39% delas suscetíveis ao ataque. Segundo dados da Wiz, 44% dos ambientes em nuvem possuem instâncias de Next.js com exposição pública.
A correção exige atualização imediata para proteger os ambientes. Usuários de Próximo.js nas versões entre 15 e 16 devem migrar para as versões 15.0.5, 15.1.9, ou superiores. Usuários de outros estruturas que utilizam componentes do React Server devem ser aplicados nas versões 19.0.1, 19.1.2, ou 19.2.1 do Reagir. UM CISA também emitiram alertas sobre a falha, reforçando a necessidade de ação imediata.
