Em poucas horas, a vulnerabilidade React2Shell, identificada como CVE-2025-55182 e CVE-2025-66478, passou de falha em código a vetor de ataque, agora já explorado por grupos ligados à China. A falha de execução remota de código (RCE) não autenticada reside no protocolo “Flight” do React Server Components (RSC) e afeta o React 19 e frameworks como o Next.js. A exposição atinge 44% dos ambientes em nuvem com Next.js publicamente disponível. A necessidade de mitigação levou a uma interrupção de serviço na Cloudflare na madrugada de hoje, durante a implementação de medidas emergenciais de mitigação.
Segundo relato do CTO da empresa brasileira Xlabs, Maurício Corrêa, “em menos de 24 horas após a divulgação inicial, já começamos a observar payloads de PoCs falsas circulando pela internet, sendo disparadas contra aplicações diversas. A partir das 22h do dia 04/12/2025 (horário de Brasília), com menos de 48 horas desde a divulgação oficial, identificamos um aumento significativo de scans e tentativas de exploração já com payloads funcionais, o que reforça a criticidade da vulnerabilidade e a importância das camadas adicionais de proteção providas pelo WAF da XLabs”.
A falha React2Shell possui classificação CVSS 10.0. A desserialização insegura permite a atacantes manipular payloads e executar código JavaScript com privilégios de servidor, não exigindo autenticação. A vulnerabilidade está presente na configuração padrão das aplicações.
Pesquisadores da AWS observaram que grupos ligados à China iniciaram a exploração da falha React2Shell logo após sua divulgação em 3 de dezembro de 2025. Os grupos Earth Lamia e Jackpot Panda estão entre os identificados.
A ação dos grupos de ameaça consiste em testes de invasão e refinamento de técnicas contra alvos. A AWS registrou tentativas de execução de comandos Linux como whoami e id em ambientes comprometidos. O risco elevou-se rapidamente de problema de código para ataque em campo.
A resposta do setor demandou medidas imediatas. A Cloudflare, em 5 de dezembro de 2025, implementou um patch de emergência no seu firewall de aplicação web (WAF) para bloquear o vetor de ataque. Essa implementação resultou na indisponibilidade do serviço da empresa, que devolveu um “500 Internal Server Error” em sites no mundo. A instabilidade decorrente da correção do React2Shell demonstra a gravidade da falha.
A vulnerabilidade React2Shell afeta ambientes em nuvem onde o framework Next.js está presente em 69% das instâncias, sendo 39% delas suscetíveis ao ataque. Segundo dados da Wiz, 44% dos ambientes em nuvem possuem instâncias de Next.js com exposição pública.
A correção exige atualização imediata para proteger os ambientes. Usuários de Next.js nas versões entre 15 e 16 devem migrar para as versões 15.0.5, 15.1.9, ou superiores. Usuários de outros frameworks que utilizam React Server Components devem aplicar as versões 19.0.1, 19.1.2, ou 19.2.1 do React. A CISA também emitiu alertas sobre a falha, reforçando a necessidade de ação imediata.
FONTE: CISO ADVISOR
