CISA inclui CVE-2025-55182 (React2Shell) no KEV após exploração
Agência dos EUA formaliza inclusão de falha crítica em React Server Components no catálogo Known Exploited Vulnerabilities após relatos de exploração ativa. CVE-2025-55182 tem CVSS 10.0 e representa risco de execução remota de código.
Descoberta e escopo / O que mudou agora
Na sexta-feira, a U.S. Cybersecurity and Infrastructure Security Agency (CISA) adicionou a vulnerabilidade identificada como CVE-2025-55182 ao seu catálogo Known Exploited Vulnerabilities (KEV), segundo reportagem do The Hacker News. A classificação CVSS atribuída ao problema é 10.0, o que o caracteriza como crítico.
O defeito afeta React Server Components (RSC), componente do ecossistema React utilizado para execução de código no servidor e renderização de interfaces. A inclusão no KEV indica que há confirmação — por parte de autoridades ou fornecedores — de exploração ativa ou impacto conhecido em ambientes reais.
Vetor e exploração / Mitigações
De acordo com o material disponível, CVE-2025-55182 permite execução remota de código (RCE) em cenários específicos envolvendo React Server Components. O relatório público consultado não detalha em profundidade o vetor técnico completo, payloads ou requisitos exatos de exploração — informações que, quando faltam, limitam avaliações de mitigação técnicas precisas.
- Mitigação imediata recomendada: organizações devem consultar avisos oficiais da CISA e do mantenedor do React para aplicar correções ou workarounds fornecidos.
- Práticas complementares: revisar políticas de deploy, reduzir privilégios de processos que executam RSC, habilitar monitoramento e detecção de comportamento anômalo em aplicações web e filtros de entrada robustos.
Impacto e alcance / Setores afetados
A falha atinge o ecossistema React e, portanto, tem potencial alcance amplo em aplicações web que adotam React Server Components para lógica e renderização no servidor. Plataformas web, serviços SaaS e aplicações empresariais que incorporam RSC no stack podem estar expostas, especialmente quando componentes do servidor operam com privilégios elevados ou acesso a recursos sensíveis.
O fato de a CISA ter listado o CVE no KEV costuma implicar que operadores de infraestruturas críticas, órgãos públicos e grandes empresas precisam priorizar a correção conforme cronograma indicado pela agência. O número exato de aplicações ou instâncias afetadas não foi publicado na reportagem consultada.
Limites das informações / O que falta saber
O relato que motivou esta matéria confirma a inclusão da vulnerabilidade no catálogo da CISA e seu escore CVSS, mas não traz detalhes técnicos completos do exploit nem exemplos públicos de código de exploração. Também não há métricas públicas sobre número de invasões, campanhas ou atores responsáveis. Em outras palavras: há confirmação de exploração ativa, mas aspectos operacionais da campanha permanecem sem divulgação pública no momento.
Repercussão / Próximos passos
Com a formalização pela CISA, equipes de segurança devem agir em duas frentes: (1) localizar e aplicar patches ou medidas mitigatórias divulgadas pelo projeto React/Meta e pela própria CISA; (2) investigar possíveis indicações de comprometimento em ambientes que usam RSC, com ênfase em logs de execução e alterações inesperadas de arquivos ou processos.
Para ambientes de desenvolvimento e CI/CD, recomenda-se também acelerar revisões de dependências e pipelines de publicação que possam propagar código vulnerável para produção. Organizações sem capacidade interna de triagem devem priorizar a consulta a fornecedores ou serviços especializados em resposta a incidentes.
Fonte: The Hacker News, com base em aviso da CISA. CVE-2025-55182 classificada com CVSS 10.0.
Observação final
Este texto é baseado nas informações publicadas pelo The Hacker News e na entrada no catálogo KEV da CISA citada pelo veículo. Onde os dados públicos são insuficientes — por exemplo, detalhes do exploit ou métricas de impacto — isso foi explicitado. Profissionais que gerenciam aplicações React Server Components devem seguir os canais oficiais para receber patches e orientações técnicas completas.