Resumo: O React2Shell (CVE-2025-55182) é uma vulnerabilidade com pontuação máxima de 10.0 no React Server Components que permite execução remota de código sem autenticação. A falha afeta o React 19 e o Next.js 15.x/16.x, e foi explorada por ransomware (Weaxor), grupos de espionagem chineses e miners de criptomoeda horas após a divulgação em dezembro de 2025. A correção imediata das dependências é a principal medida defensiva.
React2Shell expõe milhões de sites
Descoberta pelo pesquisador australiano Lachlan Davidson e reportada à equipe do Meta em 29 de novembro de 2025, a falha foi divulgada publicamente em 3 de dezembro com pontuação máxima no CVSS. PoCs autênticos começaram a circular cerca de 30 horas depois, e grupos de ameaça iniciaram exploração em massa dentro do mesmo dia.
A divulgação coordenada entre React e Vercel aconteceu em 3 de dezembro, e PoCs (provas de conceito) autênticas começaram a circular cerca de 30 horas depois.
O que é o React2Shell
O React2Shell é uma falha de desserialização insegura no protocolo Flight, usado internamente pelo React Server Components (RSC) para trafegar dados entre o navegador e o servidor. Quando o servidor processa payloads controlados pelo atacante sem validação adequada, torna-se possível injetar lógica interpretada em contexto privilegiado.
O problema central é que o runtime server-side do React nunca foi projetado para processar entrada não confiável. Em componentes tradicionais, a entrada do utilizador passa por APIs que filtram e sanitizam dados antes de qualquer lógica no servidor. Com os RSC, essa separação ficou borrada — dados serializados representando o estado da aplicação viajam diretamente entre cliente e servidor.
| Dados CVE-2025-55182 | Detalhe |
|---|---|
| CVSS v3 | 10.0 (crítico) |
| CVSS v4 | 9.3 |
| Versões afetadas | React 19.0.0–19.2.0; Next.js 15.x, 16.x |
| Versões corrigidas | React 19.0.1, 19.1.2, 19.2.1+, 19.2.3 |
| Autenticação exigida | Nenhuma |
| CISA KEV | Incluído |
Quem está explorando
A exploração aconteceu em velocidade impressionante. De acordo com a Cloudflare, o Cloudforce One registrou varreduras e tentativas de exploração dentro de horas após a divulgação, incluindo tráfego de infraestrutura associada a grupos de ameaças da Ásia.
O Google Threat Intelligence Group identificou múltiplos grupos de espionagem chineses explorando a falha — entre eles UNC6600, UNC6586, UNC6588, UNC6603 e UNC6595. O grupo UNC6600 implantou a ferramenta de túnel MINOCAT, enquanto o UNC6586 utilizou o downloader SNOWLIGHT para recuperar payloads disfarçados de arquivos legítimos.
Na esfera do crime organizado, a S-RM documentou um ataque de ransomware Weaxor em 5 de dezembro de 2025. O grupo implantou o ransomware menos de um minuto após o acesso inicial via React2Shell. Após a execução de um comando PowerShell ofuscado que instalou um beacon do Cobalt Strike, o atacante desativou o Windows Defender e lançou o payload de criptografia. Arquivos receberam a extensão “.WEAX” e o ransomware apagou shadow copies e limpou logs do Windows.
Cibercriminosos também exploraram a falha para implantar miners de criptomoeda XMRig e backdoors como EtherRAT e VShell. Roubo de credenciais em nuvem (Azure, AWS, GCP) e tokens do OpenAI foram observados como atividade pós-exploração. Esse padrão de roubo de credenciais de nuvem após exploração de RCE segue tendência semelhante a ataques que burlam MFA mal configurado no Azure CLI.
Como a exploração funciona
A exploração é direta. Um atacante envia uma única requisição HTTP com um payload especialmente construído. Não há necessidade de autenticação, interação do utilizador ou permissões elevadas. O servidor desserializa o payload malicioso e executa código JavaScript arbitrário em contexto privilegiado dentro do processo Node.js.
Após obter execução de código, o comportamento típico dos atacantes segue esta sequência:
- Descoberta de ambiente:
whoami,hostname, leitura de/etc/passwd - Beaconing DNS e HTTP para verificar conectividade de saída
- Estabelecimento de reverse shells persistentes via Cobalt Strike
- Desativação do Windows Defender e soluções de segurança
- Implantação de payload final (ransomware, miner ou backdoor)
- Roubo de credenciais com TruffleHog e Gitleaks
A Qualys alerta que o processo de criação do cmd.exe ou powershell.exe originado do node.exe é um indicador forte de exploração. Esse tipo de execução remota sem autenticação foi responsável por diversas outras vulnerabilidades críticas em 2025.
Versões corrigidas e WAF
A equipe do React disponibilizou correções nas versões 19.0.1, 19.1.2 e 19.2.1+. Uma correção adicional (19.2.3) resolveu vulnerabilidades relacionadas no mesmo protocolo. Para o Next.js, a Vercel publicou atualizações que resolvem o problema em todas as versões afetadas.
A CISA adicionou o CVE-2025-55182 ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV), sinalizando que organizações devem remediar imediatamente. A Cloudflare implantou regras WAF que bloqueiam tentativas de exploração — disponíveis até no plano gratuito.
Como se proteger
A ação prioritária é atualizar o React e o Next.js para as versões corrigidas. Dependências vendored do Next.js podem não ser detectadas por ferramentas de verificação tradicionais, então a auditoria manual é essencial.
Enquanto a atualização não for possível, medidas defensivas incluem:
- Auditar logs do Windows Event e telemetria EDR para processos originados de binários Node
- Monitorar conexões de saída incomuns e desativação de soluções de segurança
- Verificar Software Bill of Materials (SBOM) para componentes vulneráveis em produção
- Restringir acesso público a endpoints RSC que não precisam estar expostos na internet
- Ativar regras WAF da Cloudflare, Google Cloud Armor ou do provedor de infraestrutura
A circulação de PoCs falsos no GitHub é outro risco — ferramentas que fingem explorar o React2Shell podem na verdade roubar credenciais de pesquisadores, padrão idêntico ao ChocoPoC que rouba senhas de pesquisadores.
Impacto real para organizações
Comparado ao Log4Shell de 2021, o React2Shell compartilha a mesma gravidade máxima, mas com um fator agravante: a exploração é ainda mais simples. Enquanto o Log4Shell exigia cadeias de desserialização Java complexas, o React2Shell precisa de apenas uma requisição HTTP maliciosa.
O uso massivo do Next.js em aplicações corporativas amplifica o alcance potencial. Startups, e-commerces e plataformas SaaS brasileiras que dependem do ecossistema React/Next.js precisam verificar imediatamente se suas versões são afetadas. A combinação de pontuação 10.0, exploração trivial e adoção global torna esta uma das vulnerabilidades mais perigosas de 2025.