16 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a nextjs.
Microsoft publicou mitigações para React2Shell (CVE-2025-55182), uma vulnerabilidade crítica de execução remota em React Server Components/Next.js com exploração ativa reportada desde 5 de dezembro de 2025. A falha envolve desserialização insegura via protocolo Flight e permite execução de código no Node.js; as orientações oficiais incluem correções e reforço de validação de entrada.
Campanha PCPcat comprometeu mais de 59.000 servidores em menos de 48 horas explorando vulnerabilidades em Next.js/React (CVE-2025-29927 e CVE-2025-66478). O malware extrai credenciais e instala tunelamento para manter acesso persistente.
CVE-2025-55182 ("React2Shell") explora desserialização insegura no protocolo React Server Components Flight para RCE em implantações React/Next.js. Campanhas automatizadas usam probes PowerShell e técnicas de bypass do AMSI; defensores devem priorizar patching, monitoria por comandos aritméticos e isolamento de serviços até correção.
Relatos indicam exploração ativa da vulnerabilidade React2Shell (CVE‑2025‑55182) contra aplicações que usam React e Next.js poucas horas após a divulgação. A matéria cita atores ligados à China explorando a falha, mas não fornece PoC, IOCs ou lista de versões afetadas; recomenda‑se aguardar advisories oficiais para aplicar correções.
Reportagem do BleepingComputer descreve a vulnerabilidade apelidada de 'React2Shell' no protocolo "Flight" das React Server Components, capaz de RCE sem autenticação em aplicações React e Next.js. As fontes não detalham patches ou CVE; equipes devem isolar serviços e acompanhar updates oficiais.
Uma falha crítica (CVE-2025-55182, CVSS 10.0) em React Server Components permite execução remota de código sem autenticação ao explorar a forma como o framework decodifica payloads enviados a endpoints de Server Functions. A divulgação veio do React Team; a matéria não detalha versões corrigidas.