Resumo: O React2Shell (CVE-2025-55182) é uma vulnerabilidade com pontuação máxima de 10.0 no React Server Components que permite execução remota de código sem autenticação. A falha afeta o React 19 e o Next.js 15.x/16.x, e foi explorada por ransomware (Weaxor), grupos de espionagem chineses e miners de criptomoeda horas após a divulgação em dezembro de 2025. A correção imediata das dependências é a principal medida defensiva.

React2Shell expõe milhões de sites

Descoberta pelo pesquisador australiano Lachlan Davidson e reportada à equipe do Meta em 29 de novembro de 2025, a falha foi divulgada publicamente em 3 de dezembro com pontuação máxima no CVSS. PoCs autênticos começaram a circular cerca de 30 horas depois, e grupos de ameaça iniciaram exploração em massa dentro do mesmo dia.

A divulgação coordenada entre React e Vercel aconteceu em 3 de dezembro, e PoCs (provas de conceito) autênticas começaram a circular cerca de 30 horas depois.

O que é o React2Shell

O React2Shell é uma falha de desserialização insegura no protocolo Flight, usado internamente pelo React Server Components (RSC) para trafegar dados entre o navegador e o servidor. Quando o servidor processa payloads controlados pelo atacante sem validação adequada, torna-se possível injetar lógica interpretada em contexto privilegiado.

O problema central é que o runtime server-side do React nunca foi projetado para processar entrada não confiável. Em componentes tradicionais, a entrada do utilizador passa por APIs que filtram e sanitizam dados antes de qualquer lógica no servidor. Com os RSC, essa separação ficou borrada — dados serializados representando o estado da aplicação viajam diretamente entre cliente e servidor.

Dados CVE-2025-55182 Detalhe
CVSS v3 10.0 (crítico)
CVSS v4 9.3
Versões afetadas React 19.0.0–19.2.0; Next.js 15.x, 16.x
Versões corrigidas React 19.0.1, 19.1.2, 19.2.1+, 19.2.3
Autenticação exigida Nenhuma
CISA KEV Incluído

Quem está explorando

A exploração aconteceu em velocidade impressionante. De acordo com a Cloudflare, o Cloudforce One registrou varreduras e tentativas de exploração dentro de horas após a divulgação, incluindo tráfego de infraestrutura associada a grupos de ameaças da Ásia.

O Google Threat Intelligence Group identificou múltiplos grupos de espionagem chineses explorando a falha — entre eles UNC6600, UNC6586, UNC6588, UNC6603 e UNC6595. O grupo UNC6600 implantou a ferramenta de túnel MINOCAT, enquanto o UNC6586 utilizou o downloader SNOWLIGHT para recuperar payloads disfarçados de arquivos legítimos.

Na esfera do crime organizado, a S-RM documentou um ataque de ransomware Weaxor em 5 de dezembro de 2025. O grupo implantou o ransomware menos de um minuto após o acesso inicial via React2Shell. Após a execução de um comando PowerShell ofuscado que instalou um beacon do Cobalt Strike, o atacante desativou o Windows Defender e lançou o payload de criptografia. Arquivos receberam a extensão “.WEAX” e o ransomware apagou shadow copies e limpou logs do Windows.

Cibercriminosos também exploraram a falha para implantar miners de criptomoeda XMRig e backdoors como EtherRAT e VShell. Roubo de credenciais em nuvem (Azure, AWS, GCP) e tokens do OpenAI foram observados como atividade pós-exploração. Esse padrão de roubo de credenciais de nuvem após exploração de RCE segue tendência semelhante a ataques que burlam MFA mal configurado no Azure CLI.

Como a exploração funciona

A exploração é direta. Um atacante envia uma única requisição HTTP com um payload especialmente construído. Não há necessidade de autenticação, interação do utilizador ou permissões elevadas. O servidor desserializa o payload malicioso e executa código JavaScript arbitrário em contexto privilegiado dentro do processo Node.js.

Após obter execução de código, o comportamento típico dos atacantes segue esta sequência:

  1. Descoberta de ambiente: whoami, hostname, leitura de /etc/passwd
  2. Beaconing DNS e HTTP para verificar conectividade de saída
  3. Estabelecimento de reverse shells persistentes via Cobalt Strike
  4. Desativação do Windows Defender e soluções de segurança
  5. Implantação de payload final (ransomware, miner ou backdoor)
  6. Roubo de credenciais com TruffleHog e Gitleaks

A Qualys alerta que o processo de criação do cmd.exe ou powershell.exe originado do node.exe é um indicador forte de exploração. Esse tipo de execução remota sem autenticação foi responsável por diversas outras vulnerabilidades críticas em 2025.

Versões corrigidas e WAF

A equipe do React disponibilizou correções nas versões 19.0.1, 19.1.2 e 19.2.1+. Uma correção adicional (19.2.3) resolveu vulnerabilidades relacionadas no mesmo protocolo. Para o Next.js, a Vercel publicou atualizações que resolvem o problema em todas as versões afetadas.

A CISA adicionou o CVE-2025-55182 ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV), sinalizando que organizações devem remediar imediatamente. A Cloudflare implantou regras WAF que bloqueiam tentativas de exploração — disponíveis até no plano gratuito.

Como se proteger

A ação prioritária é atualizar o React e o Next.js para as versões corrigidas. Dependências vendored do Next.js podem não ser detectadas por ferramentas de verificação tradicionais, então a auditoria manual é essencial.

Enquanto a atualização não for possível, medidas defensivas incluem:

  • Auditar logs do Windows Event e telemetria EDR para processos originados de binários Node
  • Monitorar conexões de saída incomuns e desativação de soluções de segurança
  • Verificar Software Bill of Materials (SBOM) para componentes vulneráveis em produção
  • Restringir acesso público a endpoints RSC que não precisam estar expostos na internet
  • Ativar regras WAF da Cloudflare, Google Cloud Armor ou do provedor de infraestrutura

A circulação de PoCs falsos no GitHub é outro risco — ferramentas que fingem explorar o React2Shell podem na verdade roubar credenciais de pesquisadores, padrão idêntico ao ChocoPoC que rouba senhas de pesquisadores.

Impacto real para organizações

Comparado ao Log4Shell de 2021, o React2Shell compartilha a mesma gravidade máxima, mas com um fator agravante: a exploração é ainda mais simples. Enquanto o Log4Shell exigia cadeias de desserialização Java complexas, o React2Shell precisa de apenas uma requisição HTTP maliciosa.

O uso massivo do Next.js em aplicações corporativas amplifica o alcance potencial. Startups, e-commerces e plataformas SaaS brasileiras que dependem do ecossistema React/Next.js precisam verificar imediatamente se suas versões são afetadas. A combinação de pontuação 10.0, exploração trivial e adoção global torna esta uma das vulnerabilidades mais perigosas de 2025.

Referências