Hack Alerta

Falha 'React2Shell' permite RCE em React e Next.js sem autenticação

Por Redação Hack Alerta Publicado em 04/12/2025 14:04 Riscos e Ameaças Tempo de leitura: 3 min

Reportagem do BleepingComputer descreve a vulnerabilidade apelidada de 'React2Shell' no protocolo "Flight" das React Server Components, capaz de RCE sem autenticação em aplicações React e Next.js. As fontes não detalham patches ou CVE; equipes devem isolar serviços e acompanhar updates oficiais.

Pesquisas e reportagens recentes descrevem uma vulnerabilidade de criticidade máxima — apelidada de "React2Shell" — no protocolo "Flight" das React Server Components (RSC) que permite execução remota de código (RCE) em aplicações React e Next.js sem autenticação.

O que foi reportado

De acordo com a cobertura do BleepingComputer, a falha afeta o subsistema de React Server Components (o chamado protocolo "Flight") e permite que um atacante remoto execute JavaScript no lado servidor sem necessidade de autenticação. A matéria classifica a vulnerabilidade como de severidade máxima.

Vetor e impacto

  • Componentes afetados: React Server Components (RSC) — protocolo "Flight" — em implementações de React e Next.js.
  • Impacto técnico: execução remota de código no servidor (RCE) sem autenticação, o que pode levar à tomada de controle do servidor de aplicações, comprometimento de dados e possibilidade de movimento lateral na infraestrutura.

Mitigações e estado das correções

A matéria informa a existência da falha e sua gravidade, mas não detalha patches, números CVE ou cronogramas de correção publicados por mantenedores. As fontes não descrevem medidas de mitigação específicas liberadas por Meta, Vercel ou outros mantenedores do ecossistema; por isso, equipes técnicas devem adotar medidas imediatas de contenção enquanto aguardam atualizações oficiais:

  • Isolar serviços críticos e revisar exposição pública de endpoints que processem componentes do lado servidor.
  • Auditar dependências e versões de bibliotecas React/Next.js no inventário de aplicações e planejar atualizações assim que correções oficiais forem disponibilizadas.
  • Ativar monitoramento de integridade e alertas para comportamentos anômalos em runtime e em funções que renderizem conteúdo do lado servidor.

Limites das informações

As matérias disponíveis não divulgam detalhes exploráveis (exploit-pocs) nem atribuem uso ativo em ataques. Também não há, nas fontes citadas, número CVE divulgado publicamente nem indicação de quais versões específicas estão vulneráveis — a matéria descreve o vetor e o impacto em termos gerais.

Recomendações operacionais

Times de desenvolvimento e segurança devem priorizar a validação de entrada, reduzir privilégios do runtime e acompanhar canais oficiais dos projetos React/Next.js para relatórios de segurança e updates. Em ambientes de produção, recomenda‑se aplicar controles de defesa em profundidade (WAF, isolamento de containers/VMs, rotação de credenciais) até que patches formais sejam aplicados.

Baseado em publicação original de BleepingComputer
Tags: #react #nextjs #rce #server-components #flight-protocol #vulnerabilidade #web #exploit #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar