Новая критическая уязвимость, получившая название React2Shell и идентификатор CVE-2025-55182, была классифицирована с максимальным уровнем серьезности CVSS 10.0. Эта брешь в безопасности относится к типу удаленного выполнения кода (RCE) через небезопасную десериализацию и позволяет злоумышленникам атаковать системы без аутентификации и предварительной настройки. Ввиду чрезвычайной опасности регуляторы немедленно внесли React2Shell в каталог известных эксплуатируемых уязвимостей (KEV) агентства CISA.
Техническая причина проблемы кроется в компонентах М⃰ React Server Components, конкретно в пакете
Для устранения угрозы разработчики выпустили исправления в версиях React 19.0.1, 19.1.2 и 19.2. Уязвимость затрагивает широкий спектр фреймворков и инструментов, включая Next.js, React Router, Waku, Parcel, Vite и RedwoodSDK. Согласно данным платформы управления поверхностью атаки Censys, потенциальными целями являются около 2,15 миллиона экземпляров общедоступных интернет-сервисов, использующих эти технологии.
Эксперты фиксируют активную эксплуатацию уязвимости множеством злоумышленников, включая китайские хакерские группировки Earth Lamia, Jackpot Panda и UNC5174 (также известную как CL-STA-1015). Наблюдаемая вредоносная активность включает сканирование на наличие уязвимых RCE, разведку, установку загрузчиков для получения полезной нагрузки и попытки кражи файлов конфигурации и учетных данных AWS. В атаках используются специфические вредоносные инструменты, такие как SNOWLIGHT и VShell.
Компания Amazon сообщила, что атаки, исходящие с китайской инфраструктуры, начались всего через несколько часов после раскрытия информации об уязвимости. Подразделение Palo Alto Networks Unit 42 подтвердило компрометацию более 30 организаций в различных секторах. Джастин Мур, старший менеджер по исследованию угроз в Unit 42, подтвердил факты сканирования и попыток хищения данных. О случаях атак также сообщили компании Coalition, Fastly, GreyNoise, VulnCheck и Wiz.
Первооткрывателем уязвимости стал исследователь безопасности Лаклан Дэвидсон, который сообщил о проблеме и выпустил несколько эксплойтов Proof of Concept (PoC). Еще один рабочий PoC был опубликован тайваньским исследователем под ником maple3142 на GitHub. Наличие общедоступных эксплойтов делает немедленное обновление критически важным для защиты инфраструктуры.
В связи с высоким уровнем угрозы для государственных структур США была задействована обязательная оперативная директива BOD 22-01. Согласно этому предписанию, агентства федеральной гражданской исполнительной власти (FCEB) обязаны применить необходимые обновления безопасности до 26 декабря 2025 года.
Изображение носит иллюстративный характер
Техническая причина проблемы кроется в компонентах М⃰ React Server Components, конкретно в пакете
react-server. Сбой происходит в протоколе Flight, используемом для связи между сервером и клиентом, из-за ошибки в том, как React обрабатывает ссылки на объекты во время десериализации полезной нагрузки. Это позволяет хакерам отправлять специально созданные HTTP-запросы на конечные точки React Server Function и выполнять произвольные команды. Мартин Зугец, технический директор по решениям в Bitdefender, отметил, что преобразование текста в объекты является опасным классом уязвимостей, и подтвердил, что проблема заключается именно в синтаксическом анализе ссылок на объекты. Для устранения угрозы разработчики выпустили исправления в версиях React 19.0.1, 19.1.2 и 19.2. Уязвимость затрагивает широкий спектр фреймворков и инструментов, включая Next.js, React Router, Waku, Parcel, Vite и RedwoodSDK. Согласно данным платформы управления поверхностью атаки Censys, потенциальными целями являются около 2,15 миллиона экземпляров общедоступных интернет-сервисов, использующих эти технологии.
Эксперты фиксируют активную эксплуатацию уязвимости множеством злоумышленников, включая китайские хакерские группировки Earth Lamia, Jackpot Panda и UNC5174 (также известную как CL-STA-1015). Наблюдаемая вредоносная активность включает сканирование на наличие уязвимых RCE, разведку, установку загрузчиков для получения полезной нагрузки и попытки кражи файлов конфигурации и учетных данных AWS. В атаках используются специфические вредоносные инструменты, такие как SNOWLIGHT и VShell.
Компания Amazon сообщила, что атаки, исходящие с китайской инфраструктуры, начались всего через несколько часов после раскрытия информации об уязвимости. Подразделение Palo Alto Networks Unit 42 подтвердило компрометацию более 30 организаций в различных секторах. Джастин Мур, старший менеджер по исследованию угроз в Unit 42, подтвердил факты сканирования и попыток хищения данных. О случаях атак также сообщили компании Coalition, Fastly, GreyNoise, VulnCheck и Wiz.
Первооткрывателем уязвимости стал исследователь безопасности Лаклан Дэвидсон, который сообщил о проблеме и выпустил несколько эксплойтов Proof of Concept (PoC). Еще один рабочий PoC был опубликован тайваньским исследователем под ником maple3142 на GitHub. Наличие общедоступных эксплойтов делает немедленное обновление критически важным для защиты инфраструктуры.
В связи с высоким уровнем угрозы для государственных структур США была задействована обязательная оперативная директива BOD 22-01. Согласно этому предписанию, агентства федеральной гражданской исполнительной власти (FCEB) обязаны применить необходимые обновления безопасности до 26 декабря 2025 года.
