React2Shell: A falha crítica que abalou o ecossistema React e Next.js

4 minutos de leitura
Segurança Digital
Segurança Digital, React
React2Shell

Nos primeiros dias de dezembro de 2025, a equipe de desenvolvimento do React divulgou um alerta de segurança de máxima gravidade para uma vulnerabilidade crítica — CVE-2025-55182, popularmente apelidada de React2Shell — que afeta React Server Components (RSC) e, por extensão, várias estruturas modernas como Next.js, React Router, Waku e plugins de bundlers. (React) (tenable)

O que é a Vulnerabilidade React2Shell?

React2Shell é uma falha de desserialização insegura no protocolo de comunicação interno chamado Flight, usado pelos React Server Components para transmitir dados entre cliente e servidor. Quando um servidor recebe um payload manipulado, o código de desserialização trata a entrada como confiável, permitindo que um invasor remoto execute código arbitrário no servidor sem qualquer autenticação.(Amazon) (Cloudflare)

Essa vulnerabilidade recebeu a pontuação máxima de gravidadeCVSS 10.0 — refletindo tanto a facilidade de exploração quanto o impacto potencial de ataques bem-sucedidos.(NIST/NVD)

O termo “React2Shell” ecoa a histórica vulnerabilidade Log4Shell de 2021, pois ambas permitem execução remota de código (RCE) em componentes amplamente utilizados. (Tenable)

Componentes e Versões Impactados

As bibliotecas diretamente afetadas incluem:

  • react-server-dom-parcel
  • react-server-dom-turbopack
  • react-server-dom-webpack

Nas versões:

  • 19.0.0
  • 19.1.0
  • 19.1.1
  • 19.2.0

Frameworks que incorporam essas bibliotecas, como Next.js com App Router, também ficam vulneráveis devido à integração dos RSC. (React) (Tenable)

Como Funciona a Exploração

A raiz da exploração está na forma como o React e frameworks derivados manipulam dados serializados enviados pelo cliente:

  • Desserialização insegura: O servidor aceita e decodifica os dados sem validação adequada, abrindo espaço para controle de parte da memória ou lógica por entrada maliciosa. (sysdig.com)

  • Execução de código remoto: Após a desserialização, o atacante pode injetar código JavaScript que o servidor executa com os privilégios do processo de aplicação. (Cloudflare)

Diferentemente de falhas que requerem credenciais ou interação do usuário, React2Shell pode ser explorada por qualquer agente remoto que simplesmente envie uma requisição HTTP especialmente criada para um endpoint vulnerável. (Amazon)

Exploits no Mundo Real e Atividade de Ataque

Desde a divulgação pública da vulnerabilidade, ataques reais já foram observados em ambientes de nuvem e aplicações expostas:

  • Grupos ligados à China têm sido associados a tentativas de exploração de React2Shell para estabelecer backdoors e persistência. (TechRadar)

  • Campanhas sofisticadas de malware estão em andamento, incluindo tentativas de implantar mecanismos de persistência com malware como o EtherRAT, que usa contratos inteligentes de Ethereum para comunicação com servidores de comando e controle. (TechRadar)

Relatórios de incidentes indicam o uso de cryptominers, backdoors Linux e proxies reversos após a exploração bem-sucedida de servidores vulneráveis. (Huntress)

O ritmo de exploração foi rápido: em horas após a divulgação de React2Shell, tentativas de ataque foram detectadas, transformando rapidamente a vulnerabilidade em um risco concreto para ambientes de produção. (Amazon)

Ameaça Real e Tendências de Exploração

A amplitude de aplicações afetadas é considerável, pois qualquer aplicação com React Server Components ou frameworks que os utilizem “por padrão” — mesmo sem funções de servidor customizadas — pode estar exposta. Isso inclui aplicações criadas com ferramentas comuns como create-next-app. (Vercel)

Além disso, setores como finanças, educação e governo estão entre os alvos visados por atores de ameaça, dado o uso generalizado de React e Next.js nas interfaces web modernas. (Google)

Patches e Correções Disponíveis

O ecosistema rapidamente respondeu com atualizações corretivas:

React Server Components

Versões corrigidas a partir de:

  • 19.0.1
  • 19.1.2
  • 19.2.1

Next.js

Versões que incluem as correções:

  • 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

Atualizar imediatamente para as versões que contêm as correções é considerado a medida mais urgente e eficaz contra a exploração. (React) (Dynatrace)

Mitigações e Boas Práticas

Para além da atualização dos pacotes, as seguintes práticas são recomendadas:

  1. Auditoria de Dependências: Verifique se bibliotecas vulneráveis estão presentes em seu package.json ou em dependências indiretas. (Dynatrace)

  2. Ferramentas de Escaneamento: Integre ferramentas como npm audit, Snyk, Dependabot ou scanners orientados por CVE para detectar dependências vulneráveis. (SOC Prime)

  3. Firewalls de Aplicação Web (WAF): Configure regras WAF para filtrar padrões de requisições maliciosas explorando a lógica de RSC. (fastly.com)

  4. Monitoramento Contínuo: Observe logs de requisições HTTP e atividades suspeitas após atualizações para detectar tentativas de exploração. (Dynatrace)

Conclusão: Lições e Riscos

A vulnerabilidade React2Shell enfatiza uma tendência emergente em segurança de aplicações modernas: mesmo frameworks client-side amplamente adotados estão sujeitos a falhas de servidor graves quando estendem seus domínios para o backend.

O que começou como uma falha técnica específica em RSC rapidamente evoluiu para um dos principais riscos de segurança em aplicações web em 2025, com exploits públicos, campanhas maliciosas amplas e risco real de comprometimento de infraestrutura. (Google)

A resposta imediata da comunidade — através de patches, ferramentas de mitigação e atualizações de WAF — demonstra a importância de práticas robustas de segurança defensiva, atualização contínua e integração de vigias de vulnerabilidades em todos os ambientes de desenvolvimento e produção.

comments powered by Disqus