React

A vulnerabilidade React2Shell (CVE-2025-55182), classificada como crítica, está sendo explorada por grupos de hackers ligados à China e à Coreia do Norte, comprometendo centenas de sistemas em todo o mundo. A falha, que afeta os Componentes de Servidor do React (RCS), permite a execução de comandos arbitrários e a instalação de malware, incluindo mineradores de criptomoedas. A Microsoft alertou que a exploração da vulnerabilidade se intensificou após a divulgação pública, com ataques direcionados a setores variados, como serviços financeiros, logística, varejo e instituições governamentais. Os atacantes buscam estabelecer persistência e realizar espionagem cibernética. A Coreia do Norte, em particular, está utilizando um malware sofisticado chamado EtherRAT, que combina técnicas de várias campanhas anteriores. É crucial que as organizações atualizem suas versões do React para 19.0.1, 19.1.2 ou 19.2.1 imediatamente para mitigar os riscos associados a essa vulnerabilidade.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam a vulnerabilidade crítica CVE-2025-55182, que afeta o protocolo Flight dos React Server Components. Com uma pontuação CVSS de 10.0, a falha permite que atacantes injetem lógica maliciosa em um contexto privilegiado, sem necessidade de autenticação ou interação do usuário. Desde sua divulgação em 3 de dezembro de 2025, a vulnerabilidade tem sido amplamente explorada por diversos grupos de ameaças, visando principalmente aplicações Next.js e cargas de trabalho em Kubernetes. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas, estabelecendo um prazo para correção até 12 de dezembro de 2025. A empresa de segurança Cloudflare observou uma onda rápida de exploração, com ataques direcionados a sistemas expostos na internet, especialmente em regiões como Taiwan e Japão. Além disso, foram registrados mais de 35.000 tentativas de exploração em um único dia, com alvos que incluem instituições governamentais e empresas de alta tecnologia. A situação exige atenção imediata das organizações para evitar compromissos de segurança.

A equipe do React anunciou a correção de duas novas vulnerabilidades nos React Server Components (RSC), que, se exploradas, podem resultar em negação de serviço (DoS) ou exposição de código-fonte. As falhas foram descobertas pela comunidade de segurança enquanto tentavam explorar patches para uma vulnerabilidade crítica anterior (CVE-2025-55182, pontuação CVSS: 10.0). As três vulnerabilidades identificadas são: CVE-2025-55184 e CVE-2025-67779, ambas com pontuação CVSS de 7.5, que podem causar DoS devido à desserialização insegura de cargas úteis em requisições HTTP, e CVE-2025-55183, com pontuação CVSS de 5.3, que pode vazar informações ao retornar o código-fonte de funções de servidor vulneráveis. As versões afetadas incluem 19.0.0 a 19.2.1 para as duas primeiras vulnerabilidades e 19.0.2 a 19.2.2 para a última. A equipe do React recomenda que os usuários atualizem para as versões 19.0.3, 19.1.4 e 19.2.3 imediatamente, especialmente devido à exploração ativa da CVE-2025-55182. A resposta da comunidade de segurança é vista como um sinal positivo de um ciclo de resposta saudável.

Uma vulnerabilidade crítica, identificada como React2Shell (CVE-2025-55182), foi recentemente explorada por grupos de hackers patrocinados pelo Estado norte-coreano, além de grupos chineses. Essa falha afeta várias versões do React Server Components (RSC), uma biblioteca amplamente utilizada na construção de aplicações web. A vulnerabilidade permite que atacantes executem código malicioso antes da autenticação, o que representa um risco significativo para a segurança de sistemas que utilizam essas versões. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0, e os especialistas recomendam que as atualizações sejam feitas imediatamente para as versões corrigidas 19.0.1, 19.1.2 e 19.2.1.

Um novo malware chamado EtherRAT, vinculado a atores de ameaças da Coreia do Norte, está explorando uma vulnerabilidade crítica recentemente divulgada no React Server Components (RSC). Essa falha, identificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. O EtherRAT utiliza contratos inteligentes do Ethereum para resolver comandos de controle e possui cinco mecanismos independentes de persistência no Linux, o que permite que ele mantenha acesso contínuo aos sistemas infectados. O ataque geralmente começa com uma abordagem de engenharia social, onde os desenvolvedores de blockchain e Web3 são alvos de entrevistas de emprego falsas. Após a exploração da vulnerabilidade, um script shell é baixado e executado, instalando o malware. O EtherRAT se destaca por sua capacidade de se atualizar e por usar um mecanismo de votação de consenso entre nove endpoints RPC do Ethereum para obter URLs de servidores de comando e controle, dificultando a detecção e a neutralização. Essa evolução na exploração da vulnerabilidade do React representa um desafio significativo para as defesas tradicionais, exigindo atenção especial dos profissionais de segurança cibernética.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes alarmantes. Um dos destaques é a exploração de uma falha crítica no React Server Components, conhecida como CVE-2025-55182, que permite a execução remota de código por atacantes não autenticados. Essa vulnerabilidade foi rapidamente explorada por grupos de hackers, especialmente da China, resultando em quase 29 mil endereços IP vulneráveis detectados. Além disso, mais de 30 falhas em ambientes de desenvolvimento integrados (IDEs) alimentados por inteligência artificial foram reveladas, permitindo a exfiltração de dados e execução remota de código. Outro ponto preocupante é o uso de aplicativos bancários falsos por grupos criminosos, como o GoldFactory, que têm atacado usuários na Indonésia, Tailândia e Vietnã, utilizando engenharia social para disseminar malware. No Brasil, campanhas de malware bancário estão sendo disseminadas via WhatsApp, com variantes como Casbaneiro e Astaroth, que exploram a confiança dos usuários em contatos conhecidos. Por fim, a Cloudflare conseguiu mitigar um ataque DDoS recorde de 29,7 Tbps, evidenciando a crescente sofisticação das ameaças. O cenário exige atenção redobrada das organizações para proteger suas infraestruturas e dados.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica, identificada como CVE-2025-55182, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que possui uma pontuação CVSS de 10.0, permite a execução remota de código por atacantes não autenticados, sem necessidade de configuração especial. O problema está relacionado à deserialização insegura no protocolo Flight da biblioteca React, que é utilizado para comunicação entre servidor e cliente. A vulnerabilidade foi explorada ativamente, com tentativas de ataque relatadas por empresas como Amazon e Palo Alto Networks, que identificaram grupos de hackers, incluindo aqueles associados à China. A CISA recomenda que as organizações atualizem suas versões do React para as versões 19.0.1, 19.1.2 e 19.2.1, que já corrigem a falha. Além disso, frameworks dependentes do React, como Next.js e React Router, também estão em risco. A situação é crítica, com mais de 2 milhões de serviços expostos na internet potencialmente vulneráveis, exigindo atenção imediata das equipes de segurança.

Uma vulnerabilidade crítica, identificada como CVE-2025-55182, foi descoberta nas versões 19.0 a 19.2.0 do React, uma das bibliotecas JavaScript mais utilizadas na web. Essa falha permite a execução remota de código (RCE) em componentes do servidor React, afetando também frameworks populares como Next.js, React Router e Vite. O problema foi classificado com a pontuação máxima de 10/10 em severidade, e a equipe do React já lançou patches nas versões 19.0.1, 19.1.2 e 19.2.1. Especialistas alertam que a exploração dessa vulnerabilidade é iminente, com uma taxa de sucesso próxima de 100%, o que torna a atualização imediata uma prioridade para desenvolvedores e empresas que utilizam essas tecnologias. A vulnerabilidade afeta uma vasta gama de aplicações, incluindo grandes plataformas como Facebook, Instagram e Netflix, aumentando significativamente a superfície de ataque. A recomendação é que todos os usuários atualizem suas versões o mais rápido possível para evitar possíveis ataques.

Dois grupos de hackers com vínculos à China, Earth Lamia e Jackpot Panda, foram identificados explorando uma vulnerabilidade crítica no React Server Components (RSC), conhecida como CVE-2025-55182, que permite a execução remota de código não autenticado. A falha, que recebeu a pontuação máxima de 10.0 no CVSS, foi divulgada publicamente e rapidamente aproveitada por esses grupos. A Amazon Web Services (AWS) relatou que as tentativas de exploração foram detectadas em sua infraestrutura de honeypot, associadas a endereços IP conhecidos por estarem ligados a atores de ameaças estatais chineses. Os ataques têm como alvo setores variados, incluindo serviços financeiros, logística e universidades, principalmente na América Latina, Oriente Médio e Sudeste Asiático. Além disso, o Jackpot Panda, ativo desde 2020, tem se concentrado em entidades relacionadas a jogos online na Ásia. A AWS também observou que os atacantes estavam explorando outras vulnerabilidades conhecidas, sugerindo uma abordagem sistemática para encontrar sistemas não corrigidos. Essa situação destaca a necessidade urgente de que empresas e organizações atualizem suas versões do React para mitigar riscos de exploração.

Uma falha de segurança de alta severidade foi identificada nos React Server Components (RSC), com o identificador CVE-2025-55182, que permite a execução remota de código não autenticado. A vulnerabilidade, que possui uma pontuação CVSS de 10.0, resulta de um erro na forma como o React decodifica os dados enviados para os endpoints de funções do servidor. Mesmo que uma aplicação não utilize endpoints de funções do servidor, ela ainda pode ser vulnerável se suportar componentes do servidor do React. A empresa de segurança em nuvem Wiz relatou que 39% dos ambientes em nuvem podem ter instâncias vulneráveis a essa falha. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0 de pacotes npm como react-server-dom-webpack e react-server-dom-parcel. As correções foram lançadas nas versões 19.0.1, 19.1.2 e 19.2.1. Além disso, a vulnerabilidade também impacta o Next.js com App Router, identificado como CVE-2025-66478, afetando versões >=14.3.0-canary.77 e superiores. Dada a gravidade da situação, é altamente recomendável que os usuários apliquem as correções imediatamente para garantir a proteção adequada.