Uma vulnerabilidade crítica nos componentes do React Server está sendo explorada ativamente por vários grupos de ameaças, colocando milhares de sites – incluindo plataformas criptográficas – em risco imediato, com os usuários possivelmente vendo todos os seus ativos drenados, se afetados.
A falha, rastreada como CVE-2025-55182 e apelidada React2Shellpermite que invasores executem código remotamente em servidores afetados sem autenticação. Os mantenedores do React divulgaram o problema em 3 de dezembro e atribuíram a ele a pontuação de gravidade mais alta possível.
Pouco depois da divulgação, o GTIG observou exploração generalizada tanto por criminosos com motivação financeira quanto por grupos de hackers suspeitos de serem apoiados pelo Estado, visando aplicativos React e Next.js não corrigidos em ambientes de nuvem.
Carregando…
O que a vulnerabilidade faz
Os componentes do React Server são usados para executar partes de um aplicativo da web diretamente em um servidor, em vez de no navegador do usuário. A vulnerabilidade decorre de como o React decodifica as solicitações recebidas para essas funções do lado do servidor.
Em termos simples, os invasores podem enviar uma solicitação da Web especialmente criada que engana o servidor, fazendo-o executar comandos arbitrários ou efetivamente entregar o controle do sistema ao invasor.
O bug afeta as versões 19.0 a 19.2.0 do React, incluindo pacotes usados por frameworks populares como Next.js. Muitas vezes, apenas ter os pacotes vulneráveis instalados é suficiente para permitir a exploração.
Como os invasores estão usando isso
O Google Threat Intelligence Group (GTIG) documentou várias campanhas ativas usando a falha para implantar malware, backdoors e software de mineração de criptografia.
Alguns invasores começaram a explorar a falha poucos dias após a divulgação para instalar o software de mineração Monero. Esses ataques consomem silenciosamente recursos e eletricidade do servidor, gerando lucros para os invasores e degradando o desempenho do sistema para as vítimas.
As plataformas criptográficas dependem fortemente de estruturas JavaScript modernas, como React e Next.js, muitas vezes lidando com interações de carteira, assinatura de transações e aprovações de licenças por meio de código front-end.
Se um site for comprometido, os invasores podem injetar scripts maliciosos que interceptam interações de carteiras ou redirecionam transações para suas próprias carteiras – mesmo que o protocolo blockchain subjacente permaneça seguro.
Isso torna as vulnerabilidades front-end particularmente perigosas para usuários que assinam transações por meio de carteiras de navegador.
Fonte: Folha SP
