Resumo
Microsoft divulgou mitigações para a vulnerabilidade crítica apelidada de React2Shell (CVE-2025-55182), que permite execução remota de código em React Server Components e ambientes Next.js. A falha, com escore CVSS máximo reportado, foi identificada em campanhas de exploração ativas desde 5 de dezembro de 2025.
Descoberta e escopo
De acordo com o relatório publicado pelo pesquisador e compilado pelo veículo que cobre a divulgação, a falha afeta a forma como o ecossistema de React Server Components processa dados através do protocolo "Flight". Um payload HTTP malformado enviado ao servidor pode ser desserializado de forma inseura, levando a prototype pollution e, em seguida, à execução arbitrária de código no runtime Node.js.
Vetor de exploração e evidências
Os analistas que acompanharam o caso documentaram tentativas de exploração a partir de 5 de dezembro de 2025. Segundo a cobertura, o ataque típico começa com uma requisição HTTP POST especialmente construída para aplicações vulneráveis. Quando o backend desserializa esse conteúdo sem validações rigorosas, o código malicioso é executado no contexto do servidor, sem necessidade de autenticação prévia.
Payloads observados e cadeia de ataque
Relatos mencionam que, após a execução inicial, atacantes costumam implantar rotinas para persistência e movimentação lateral. Foram citados padrões como implantação de shells reversos, uso de infraestrutura de comando e controle (ex.: beacons), e entrega de payloads variados incluindo RATs e mineradores. A análise relata também uso de técnicas para ocultação e manutenção de acesso em sistemas comprometidos.
Mitigações oficiais
Microsoft publicou orientações de mitigação e medidas de contenção. A recomendação central é aplicar as correções e hardenings indicados no advisory, bloquear e inspecionar endpoints que recebam requisições do tipo descrevido, e fortalecer validações de entrada no processamento do protocolo Flight.
Limitações nas informações públicas
As fontes descrevem exploração ativa e campanhas que usaram a vulnerabilidade, porém detalhes técnicos finos sobre técnicas específicas de evasão e acomodações de persistência variam entre relatórios. Não há na cobertura pública disponível uma lista consolidada de versões afetadas com números de versão detalhados para todos os stacks; por isso, equipes devem seguir as instruções oficiais do fornecedor e avaliar exposição em função da utilização concreta de React Server Components e Next.js em suas aplicações.
Implicações para operações e resposta
- Ambientes que executam React Server Components e Next.js devem priorizar a aplicação das mitigações recomendadas.
- Equipes de detecção devem buscar sinais de requisições POST malformadas ao endpoint que realiza parsing do protocolo Flight e investigar indicadores de atividade pós‑exploração, como shells reversos e comunicações com C2.
- Em caso de comprometimento, recomenda‑se amostra forense dos artefatos de memória e logs de aplicação antes de reiniciar serviços para preservar evidências.
Conclusão
React2Shell (CVE-2025-55182) representa uma vulnerabilidade de alto risco por combinar pré‑autenticação e execução remota em uma cadeia frequentemente presente em aplicações modernas baseadas em React Server Components e Next.js. Microsoft liberou mitigações e equipes devem agir rapidamente para aplicar controles e revisar detecções. A cobertura pública confirma exploração ativa, mas há lacunas em relação a lista completa de versões afetadas e indicadores detalhados de persistência — circunstância que aumenta a importância de seguir as instruções oficiais e monitorar comunicações do fornecedor.