Introdução
Pesquisadores detectaram exploração ativa de uma falha crítica de desserialização insegura no protocolo React Server Components Flight, apelidada “React2Shell” (CVE-2025-55182). A exploração aponta para campanhas automatizadas capazes de obter execução remota em stacks React e Next.js.
Descoberta e escopo / O que mudou agora
O relatório indica que a vulnerabilidade permite execução remota de código em servidores que processam componentes React/Next.js via o protocolo Flight. A CVE-2025-55182 foi associada a exploração em campo, com kits automatizados usados para varredura e comprometimento de instâncias expostas.
Vetor e exploração / Mitigações
Os atacantes documentados empregam ferramentas automatizadas semelhantes a botnets Mirai para identificar alvos. A exploração inclui o envio de cargas que desencadeiam desserialização insegura e, nos casos observados, uso de stagers codificados que realizam download-and-execute em hosts comprometidos. Em endpoints Windows os operadores usam probes em PowerShell descritos como "cheap math" para validar RCE e técnicas que manipulam AMSI — por exemplo, alterando AmsiUtils.amsiInitFailed para true — a fim de evitar detecção por antimalware.
Como medidas imediatas, os relatórios recomendam:
- Aplicar patches oficiais para React/Next.js assim que disponíveis e seguir orientações dos mantenedores;
- Bloquear ou monitorar tráfego de IPs e redes associadas às campanhas identificadas, quando conhecido;
- Monitorar endpoints por execução repetida de comandos PowerShell com operações aritméticas atípicas (indicador associado às sondagens) e por sinais de bypass do AMSI;
- Restringir exposição de interfaces de desenvolvimento/servidor que aceitam componentes Flight a redes confiáveis e implementar WAF/inspeção a montante.
Impacto e alcance / Setores afetados
O impacto primário recai sobre aplicações web que usam o protocolo React Server Components Flight, especialmente implantações públicas de Next.js e stacks que aceitam carga de componentes do lado servidor. Ambientes com baixa segmentação, ausência de inspeção de tráfego e permissões amplas para processos de aplicação aumentam o risco de takeover do servidor, o que pode conduzir a persistência, lateral movement e uso da infraestrutura para entregas secundárias (malware, mineração, pivoteamento).
Limites das informações / O que falta saber
As comunicações observadas descrevem técnicas e indicadores (PowerShell "cheap math", AMSI manipulations, botnet-style scanners), mas os relatórios públicos não detalham assinaturas de exploit nem listas completas de IOCs. Não há, na fonte consultada, uma lista exaustiva de versões vulneráveis nem um pacote de mitigação definitivo divulgado pelos mantenedores; por isso, operações de defesa devem priorizar detecção comportamental e isolamento de serviços até que patches sejam aplicados.
Repercussão / Próximos passos
Equipes de resposta e CSIRT devem priorizar inventário de aplicações React/Next.js com exposição pública, revisão de logs para comandos PowerShell anômalos e aplicação de controles compensatórios (WAF, segmentação, regras de EDR voltadas a bypasses de AMSI). Caso mantenedores publiquem correções ou instruções, aplicar testes em ambientes não produtivos antes do rollout. A comunidade também recomenda coordenação com fornecedores de CDN/WAF para bloqueio preventivo de padrões de exploração conhecidos.