React2shell: Nova vulnerabilidade CVSS 10 expõe servidores React e Next.js a ataques RCE

Uma falha de segurança considerada máxima foi divulgada em React Server Components (RSC), abrindo caminho para execução remota de código (RCE) sem necessidade de autenticação. Catalogada como CVE-2025-55182, a vulnerabilidade recebeu pontuação CVSS 10.0 e foi apelidada de React2shell, refletindo seu potencial destrutivo em aplicações que utilizam o ecossistema React.

Segundo o time do React, o problema reside em um erro na forma como o framework decodifica payloads enviados aos endpoints de React Server Functions. Mesmo aplicações que não utilizam diretamente Server Functions podem estar vulneráveis caso suportem React Server Components. A falha permite que um invasor envie uma requisição HTTP maliciosa capaz de executar JavaScript arbitrário no servidor sem login, sem permissões adicionais e sem configurar nada além de acesso à rede.

Pesquisadores da Wiz explicam que se trata de um caso de desserialização insegura lógica, ocasionada pelo processamento inadequado dos payloads do protocolo React Flight. Empresas como Aikido confirmaram que payloads manipulados podem influenciar a execução no lado servidor de forma inesperada, permitindo o controle do fluxo de código. As versões corrigidas de React introduzem validações mais rígidas e desserialização reforçada.

A falha afeta as versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos pacotes npm:

• react-server-dom-webpack

• react-server-dom-parcel

• react-server-dom-turbopack

As correções foram disponibilizadas nas versões 19.0.1, 19.1.2 e 19.2.1. O pesquisador neozelandês Lachlan Davidson foi creditado pela descoberta e notificação do problema à Meta em 29 de novembro de 2025 poucas semanas após a biblioteca React ter sido transferida oficialmente para a React Foundation.

O impacto é ainda maior devido ao efeito cascata em Next.js, que utiliza RSC através do App Router. A vulnerabilidade correspondente CVE-2025-66478, também de severidade máxima afeta versões >=14.3.0-canary.77, >=15 e >=16, todas corrigidas nas releases 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 e 15.0.5.

Outras ferramentas que empacotam React Server Components também estão vulneráveis, incluindo plugins do Vite, Parcel, React Router RSC preview, RedwoodJS e Waku.

Empresas como Endor Labs, Miggo Security e VulnCheck ressaltaram que nenhuma configuração especial é necessária para explorar o bug. Basta que o aplicativo utilize configurações padrão dos frameworks. O invasor precisa apenas de acesso de rede para enviar uma requisição HTTP manipulada tornando a exploração trivial e extremamente perigosa.

Enquanto os patches não são aplicados, especialistas recomendam:

• Ativar regras de Web Application Firewall (WAF);

• Monitorar tráfego HTTP em endpoints de Server Functions;

• Restringir temporariamente o acesso de rede a aplicações afetadas.

A Cloudflare informou ter implementado automaticamente uma proteção dedicada em seu WAF para mitigar o CVE-2025-55182, cobrindo usuários gratuitos e pagos desde que o tráfego do app passe por sua plataforma.

Levantamento da Wiz mostra que 39% dos ambientes em nuvem possuem instâncias vulneráveis. Justin Moore, gerente sênior da Unit 42 (Palo Alto Networks), destacou a dimensão da superfície de ataque: mais de 968 mil servidores globais executam frameworks modernos como React e Next.js. Para ele, a falha é particularmente crítica por funcionar como uma “chave mestra”, abusando da confiança interna do sistema em estruturas de dados válidas.

Via - THN