CISA ostrzega przed podatnością React2Shell
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
CISA dodała React2Shell do katalogu aktywnie wykorzystywanych podatności. W ciągu zaledwie kilku dni od ujawnienia luka CVE-2025-55182 stała się jednym z najpoważniejszych incydentów w tym roku.
Opisywana podatność to RCE o maksymalnym CVSS 10.0, który pozwala na zdalne wykonanie kodu po wysłaniu jednego odpowiednio spreparowanego żądania HTTP.
React2Shell uderza w samą logikę komponentów serwerowych. RSC opiera się na tzw. Flight, czyli protokole transportowym służącym do przesyłania danych między klientem a serwerem. W teorii jest to kontrolowany proces serializacji i deserializacji danych, w praktyce okazało się jednak, że Flight był podatny na wstrzyknięcia kodu, które pozwalały manipulować strukturą deserializowanego obiektu.
Czytaj też
Skala wykorzystania
CVE-2025-55182 zostało ujawnione 3 grudnia 2025 r. Dzień później w sieci pojawiły się pierwsze publiczne PoC. W kolejnych godzinach uruchomiono masowe skanowanie Internetu. AWS, Wiz, Datadog i kilka innych firm potwierdziło, że podatność jest już aktywnie wykorzystywana w środowiskach produkcyjnych. Część skanów i prób włamań pochodziła z infrastruktur kojarzonych z grupami APT jak np. China-nexus.
Większość ataków w pierwszych dniach miała charakter oportunistyczny. Dominowały akcje pozyskiwania poświadczeń, wdrażania prostych backdoorów, instalowania koparek kryptowalut i eksploracji sieci wewnętrznych. Choć nie odnotowano kampanii ransomware z użyciem tej podatności, jedno jest jasne: otwiera cyberprzestępcom drzwi do przejęcia całej infrastruktury, więc możliwość wykorzystania React2Shell w tego typu atakach jest bardzo wysoka.
Kto jest podatny?
Problem dotyczy nie tylko czystego Reacta. Podatne są pakiety react-server-dom w wersjach 19.0.x, 19.1.x i 19.2.0. Oznacza to, że narażone są także projekty korzystające z Next.js oraz innych bundlerów implementujących RSC. Wiele środowisk nie zdaje sobie nawet sprawy z faktu, że ich stack technologiczny opiera się na Flight, co dodatkowo utrudnia ocenę ryzyka.
Dobrą wiadomością jest to, że patche są już dostępne. Zespół React wydał naprawione wersje pakietów react-server-dom, w tym 19.0.1, 19.1.2 oraz 19.2.1. Równolegle Next.js udostępnił aktualizacje w swoich wersjach z linii 15.x i 16.x, które eliminują podatność.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?