Világszerte több mint 77 000 IP-cím bizonyult sebezhetőnek a kritikus, React2Shell (CVE-2025-55182) távoli kódfuttatást lehetővé tévő sérülékenységgel szemben. A kiberbiztonsági kutatók megerősítették, hogy a támadók már több mint 30 szervezetet sikeresen kompromittáltak.
A React2Shell egy hitelesítést nem igénylő, távoli kódfuttatást lehetővé tevő sérülékenység, amely egyetlen HTTP-kéréssel kihasználható. Minden olyan keretrendszert érint, amely a React Server Components funkciójára épül, például a Next[.]js is, amely ugyanazt a deszerializációs logikát alkalmazza.
A React fejlesztői december 3-án hozták nyilvánosságra a sérülékenységet. December 4-én megjelent az első működő PoC exploit, amely demonstrálta a távoli kódfuttatást a nem frissített kiszolgálókon. Ezt követően a sérülékenységre irányuló szkennelések drasztikusan felerősödtek, mivel a támadók és a kutatók egyaránt automatizált eszközökkel kezdték használni a nyilvánosan elérhető exploitot.
A Shadowserver eddig 77 664 sebezhető IP-címet azonosított, amelyek közül mintegy 23 700 az Egyesült Államokban található. A GreyNoise 24 óra alatt 181 exploit kísérletet rögzített, döntően automatizált forgalmat, elsősorban Hollandiából, Kínából, az Egyesült Államokból és Hongkongból.
A támadók kezdetben egyszerű matematikai műveletet végrehajtó PowerShell parancsokat használnak a sérülékenység ellenőrzésére, majd base64-kódolt parancsokkal további szkripteket töltenek le közvetlenül a memóriába. Ezek között volt olyan, amely az AMSI végpontvédelmi mechanizmus letiltását, majd Cobalt Strike beacon telepítését hajtotta végre. Több behatolást vélhetően kínai APT-csoportokhoz kötnek, köztük az Earth Lamia, Jackpot Panda és UNC5174 szereplőkhöz. A Palo Alto Networks szerint a támadók Snowlight droppert és Vshell backdoort is telepítettek.
A sérülékenység súlyossága miatt világszerte megkezdődtek a sürgős javítások és mitigációk. A Cloudflare vészhelyzeti WAF-szabályokat vezetett be, amelyek átmenetileg több webhely kiesését okozták. A CISA a sérülékenységet felvette a KEV katalógusába.
A React Server Components-et használó szervezetek számára javasolt az azonnali frissítés, az alkalmazások rebuild-elése és újratelepítése, valamint a naplók átvizsgálása PowerShell- vagy shell-parancsvégrehajtásra utaló jelek után.