React2Shell (CVE-2025-55182): RCE em React Server Components
Uma vulnerabilidade crítica em React Server Components (RSC) foi divulgada e já há relatos de varreduras e tentativas de exploração. A falha permite execução remota de código sem autenticação e recebeu classificação CVSS 10.0.
Descoberta e escopo / O que mudou agora
O problema identificado como CVE-2025-55182 — apelidado de React2Shell — decorre de uma falha de validação na desserialização do protocolo Flight, usado por React Server Components para trocar estado entre cliente e servidor. Segundo o relatório disponível, um atacante pode enviar um payload malformado ao endpoint de Server Functions e obter RCE sem necessidade de autenticação. Um PoC público já circula, elevando o risco de automação de ataques.
Vetor e exploração / Mitigações
React2Shell não está relacionado a uma única implementação; é um defeito estrutural no recurso RSC que impacta o ecossistema React. Frameworks que usam RSC — citados na análise — incluem Next.js, React Router RSC, Waku, Vite (RSC plugin), Parcel (RSC plugin) e RedwoodJS. Importante: alguns frameworks (por exemplo, Next.js) podem embutir módulos React internamente, de modo que atualizar apenas pacotes React pode não aplicar automaticamente a correção.
As correções oficiais estão disponíveis nos pacotes react-server-dom-* nas versões 19.0.1, 19.1.2 e 19.2.1 ou superiores. As recomendações imediatas divulgadas incluem:
- Atualizar imediatamente react-server-dom-webpack para 19.0.1/19.1.2/19.2.1 e react-server-dom-parcel / react-server-dom-turbopack para 19.0.1 ou superior.
- Verificar release notes e advisories dos frameworks usados para garantir que a correção foi integrada no empacotamento do framework (especialmente Next.js).
- Reduzir exposição externa de endpoints RSC usando proxy reverso, WAF ou gateways de autenticação.
- Monitorar sinais de varredura e tentativas de exploração em endpoints RSC e aplicar bloqueios em IPs maliciosos quando identificado comportamento automatizado.
Impacto e alcance / Setores afetados
A análise de superfície citada no relatório aponta que a detecção de RSC por métodos tradicionais (banners de produto ou conteúdo HTML) é difícil, porque RSC não é explicitamente exposto em muitos stacks. A forma mais confiável de identificação são padrões específicos de cabeçalhos HTTP. Uma busca com o padrão “Vary: RSC, Next-Router-State-Tree” em ferramentas de mapeamento de ativos indicou cerca de 109.487 ativos RSC‑enabled apenas nos Estados Unidos — número usado no relatório para dimensionar a superfície de exposição. O relatório ressalta, porém, que presença do cabeçalho não implica necessariamente vulnerabilidade, apenas que RSC está ativo naquele servidor.
Limites das informações / O que falta saber
O material consultado provém de uma análise técnica e de telemetria de terceiros; não há, no texto usado como fonte, uma lista pública de vítimas específicas ou evidências detalhadas de incidentes confirmados por organizações afetadas. Também não há informação consolidada sobre cadeias de exploração que tenham resultado em intrusões com impacto final (exfiltração, ransomware etc.). Em suma: sabemos que há PoC público, varreduras e inclusão na KEV da CISA, mas faltam relatórios públicos de incidentes confirmados contra alvos nomeados no mesmo documento.
Repercussão / Próximos passos
Organizações com aplicações web que possam ter RSC habilitado devem priorizar avaliação de exposição, aplicar os patches referidos e revisar o comportamento de seus proxies reversos e WAFs. A publicação também recomenda uso de ferramentas de mapeamento de ativos (o relatório cita Criminal IP como exemplo) para identificar servidores que expõem os cabeçalhos indicativos de RSC e para monitoramento contínuo de varreduras e exploração.
Resumo técnico final: CVE-2025-55182 (React2Shell) é uma vulnerabilidade de desserialização no protocolo Flight que permite RCE sem autenticação. A falha tem PoC público, foi adicionada ao KEV da CISA e recebeu CVSS 10.0; a correção exige atualização dos pacotes react-server-dom-* (versões 19.0.1 / 19.1.2 / 19.2.1 ou superior) e verificação das versões dos frameworks que vendorizam RSC.