La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias federales a parchear la flamante reaccionar2shell vulnerabilidad para el 12 de diciembre de 2025, en medio de informes de explotación generalizada.
La vulnerabilidad crítica, rastreada como CVE-2025-55182 (puntuación CVSS: 10.0), afecta el protocolo de planeo de componentes de servidor React (RSC). La causa subyacente del problema es una deserialización insegura que permite a un atacante inyectar método maliciosa que el servidor ejecuta en un contexto privilegiado. Incluso afecta a otros marcos, incluidos Next.js, Waku, Vite, React Router y RedwoodSDK.
“Una única solicitud HTTP especialmente diseñada es suficiente; no hay requisitos de autenticación, interacción del adjudicatario ni permisos elevados involucrados”, dijo Cloudforce One, el equipo de inteligencia de amenazas de Cloudflare. “Una vez exitoso, el atacante puede ejecutar JavaScript privilegiado y injusto en el servidor afectado”.
Desde su divulgación pública el 3 de diciembre de 2025, la deficiencia ha sido explotada por múltiples actores de amenazas en diversas campañas para participar en esfuerzos de gratitud y entregar una amplia viso de familias de malware.
El crecimiento llevó a CISA a agregarlo a su catálogo de vulnerabilidades explotadas conocidas el viernes pasado, dando a las agencias federales hasta el 26 de diciembre para aplicar las correcciones. Desde entonces, la data periferia se revisó hasta el 12 de diciembre de 2025, una indicación de la agravación del incidente.
La empresa de seguridad en la estrato Wiz dijo que ha observado una “rápida ola de explotación oportunista” de la falta, con una gran mayoría de los ataques dirigidos a aplicaciones Next.js orientadas a Internet y otras cargas de trabajo en contenedores que se ejecutan en Kubernetes y servicios administrados en la estrato.
 |
| Fuente de la imagen: Cloudflare |
Cloudflare, que igualmente está rastreando la actividad de explotación en curso, dijo que los actores de amenazas han realizado búsquedas utilizando plataformas de descubrimiento de activos y escaneo en Internet para encontrar sistemas expuestos que ejecutan aplicaciones React y Next.js. En particular, algunos de los esfuerzos de gratitud han excluido de sus búsquedas los espacios de direcciones IP chinas.
“Su sonsaca de decano densidad se produjo contra redes en Taiwán, Xinjiang Uyghur, Vietnam, Japón y Nueva Zelanda, regiones frecuentemente asociadas con prioridades de colección de inteligencia geopolítica”, dijo la empresa de infraestructura web.
Incluso se dice que la actividad observada se dirigió, aunque de forma más selectiva, a sitios web gubernamentales (.gov), instituciones de investigación académica y operadores de infraestructura crítica. Esto incluía una autoridad doméstico responsable de la importación y exportación de cósmico, metales raros y combustible nuclear.
Algunos de los otros hallazgos notables se enumeran a continuación:
- Dar prioridad a objetivos tecnológicos de reincorporación sensibilidad, como administradores de contraseñas empresariales y servicios de cúpula segura, probablemente con el objetivo de perpetrar ataques a la esclavitud de suministro.
- Dirigirse a dispositivos VPN SSL orientados al borde cuyas interfaces administrativas pueden incorporar componentes basados en React
- Los primeros intentos de escaneo y explotación se originaron en direcciones IP previamente asociadas con grupos de amenazas afiliados a Asia.
En su propio investigación de los datos de los honeypots, Kaspersky dijo que registró más de 35.000 intentos de explotación en un solo día, el 10 de diciembre de 2025, y que los atacantes primero probaron el sistema ejecutando comandos como whoami, antaño de eliminar mineros de criptomonedas o familias de malware de botnets como las variantes Mirai/Gafgyt y RondoDox.
Algunas de las otras cargas efectos observadas incluyen balizas Cobalt Strike, Sliver, Fast Reverse Proxy (FRP), una utensilio de monitoreo llamamiento Nezha, una carga útil de Node.js que recopila archivos confidenciales y arsenal a TruffleHog y Gitleaks para compilar secretos, y una puerta trasera basada en Go con capacidades de shell inverso, gratitud y comando y control (C2).
Paralelamente, se estima que React2Shell ha producido más de 140 exploits de prueba de concepto de diferente calidad, y aproximadamente la parte de ellos están rotos, son engañosos o inutilizables, según VulnCheck. Los repositorios de exploits restantes contienen método para cargar shells web en memoria como Godzilla, escanear en indagación de fallas e incluso implementar un firewall de aplicaciones web (WAF) frívolo para cerrar cargas maliciosas.
El investigador de seguridad Rakesh Krishnan igualmente descubrió un directorio libre alojado en “154.61.77(.)105:8082” que incluye un script de explotación de prueba de concepto (PoC) para CVE-2025–55182 anejo con otros dos archivos:
- “dominios.txt”, que contiene una inventario de 35.423 dominios
- “next_target.txt”, que contiene una inventario de 596 URL, incluidas empresas como Dia Browser, Starbucks, Porsche y Lululemon.
Se ha evaluado que el actor de amenazas no identificado está escaneando activamente Internet en función de los objetivos agregados al segundo archivo, infectando cientos de páginas en el proceso.
La empresa de ciberseguridad y seguros cibernéticos Coalition ha comparado React2Shell con la vulnerabilidad Log4Shell de 2021 (CVE-2021-44228) y la describe como un “evento sistémico de agregación de riesgos cibernéticos”.
Según los últimos datos de The Shadowserver Foundation, hay más de 137.200 direcciones IP expuestas a Internet que ejecutan código inerme al 11 de diciembre de 2025. De ellas, más de 88.900 instancias están ubicadas en EE. UU., seguidas de Alemania (10.900), Francia (5.500) e India (3.600).
