La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó formalmente el viernes una rotura de seguridad crítica que afecta a los componentes del servidor React (RSC) a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de explotación activa en la naturaleza.
La vulnerabilidad, CVE-2025-55182 (Puntuación CVSS: 10,0), se relaciona con un caso de ejecución remota de código que podría ser desencadenada por un atacante no autenticado sin requerir ninguna configuración peculiar. Todavía se rastrea como React2Shell.
“Meta React Server Components contiene una vulnerabilidad de ejecución remota de código que podría permitir la ejecución remota de código no autenticado al explotar una rotura en la forma en que React decodifica las cargas enseres enviadas a los puntos finales de la función React Server”, dijo CISA en un aviso.
El problema surge de una deserialización insegura en el protocolo Flight de la biblioteca, que React utiliza para comunicarse entre un servidor y un cliente. Como resultado, conduce a un atmósfera en el que un atacante remoto no autenticado puede ejecutar comandos arbitrarios en el servidor enviando solicitudes HTTP especialmente diseñadas.
“El proceso de convertir texto en objetos se considera ampliamente como una de las clases de vulnerabilidades de software más peligrosas”, dijo Martin Zugec, director de soluciones técnicas de Bitdefender. “La vulnerabilidad de React2Shell reside en el paquete reaccionar-servidor, específicamente en cómo analiza las referencias de objetos durante la deserialización”.
La vulnerabilidad se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de las siguientes bibliotecas:
- reaccionar-servidor-dom-webpack
- reaccionar-servidor-dom-parcel
- reaccionar-servidor-dom-turbopack
Algunos de los marcos posteriores que dependen de React igualmente se ven afectados. Esto incluye: Next.js, React Router, Waku, Parcel, Vite y RedwoodSDK.
El avance se produce posteriormente de que Amazon informara que observó intentos de ataque provenientes de infraestructura asociada con grupos de piratería chinos como Earth Lamia y Jackpot Panda pocas horas posteriormente de la divulgación pública de la rotura. Coalition, Fastly, GreyNoise, VulnCheck y Wiz igualmente informaron deber pasado esfuerzos de explotación dirigidos a la rotura, lo que indica que múltiples actores de amenazas están participando en ataques oportunistas.
 |
| Fuente de la imagen: GreyNoise |
Algunos de los ataques han implicado el despliegue de mineros de criptomonedas, así como la ejecución de comandos PowerShell de “matemáticas baratas” para determinar la explotación exitosa, seguidos de la ejecución de comandos para colocar descargadores en memoria capaces de recuperar una carga útil adicional de un servidor remoto.
Según los datos compartidos por la plataforma de gobierno de superficies de ataque Censys, hay aproximadamente de 2,15 millones de instancias de servicios conectados a Internet que pueden estar afectados por esta vulnerabilidad. Esto comprende servicios web expuestos que utilizan componentes de React Server e instancias expuestas de marcos como Next.js, Waku, React Router y RedwoodSDK.
En una manifiesto compartida con The Hacker News, la Dispositivo 42 de Palo Parada Networks dijo que ha confirmado más de 30 organizaciones afectadas en numerosos sectores, con un conjunto de actividad consistente con un equipo de piratería chino rastreado como UNC5174 (igualmente conocido como CL-STA-1015). Los ataques se caracterizan por el despliegue de SNOWLIGHT y VShell.
“Hemos observado escaneos en investigación de RCE vulnerables, actividad de inspección, intento de robo de archivos de configuración y credenciales de AWS, así como instalación de descargadores para recuperar cargas enseres de la infraestructura de comando y control del atacante”, dijo Justin Moore, apoderado senior de investigación de inteligencia sobre amenazas en la Dispositivo 42 de Palo Parada Networks.
El investigador de seguridad Lachlan Davidson, a quien se le atribuye deber descubierto e informado la rotura, desde entonces ha animado múltiples exploits de prueba de concepto (PoC), lo que hace imperativo que los usuarios actualicen sus instancias a la última lectura lo ayer posible. Otro PoC sencillo ha sido publicado por un investigador taiwanés que utiliza el identificador de GitHub maple3142.
De conformidad con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutante Civil Federal (FCEB) tienen hasta el 26 de diciembre de 2025 para aplicar las actualizaciones necesarias para proteger sus redes.
