React2Shell: falha crítica no React e no Next.js expõe milhões de aplicativos

Foram descobertas vulnerabilidades críticas (CVSS 10) que afetam o React e o Next.js e permitem execução remota de código sem autenticação.

Aplicativos que utilizam React Server Components (RSC) podem estar em risco mesmo sem endpoints expostos de Server Functions.

Atualização: exploit React2Shell está ativo

A AWS alertou que a vulnerabilidade do React2Shell (CVE-2025-55182) já está sendo usada em ataques direcionados por grupos com vínculos com a China. A exploração começou poucas horas após a divulgação pública e foram detectadas tentativas contra aplicativos em setores críticos, como finanças, varejo e governo. Além disso, provas de conceito estão disponíveis no GitHub, aumentando o risco de ataques em massa.

Popularidade e impacto potencial

Essas tecnologias são muito populares (o React tem 55,8 milhões de downloads por semana no NPM) e, de acordo com informações obtidas pela Wiz Research, 39% dos ambientes de nuvem contêm instâncias vulneráveis do React e do Next.js afetadas por essas falhas críticas (CVE-2025-55182 e CVE-2025-66478).

Isso significa que as equipes que desenvolvem aplicativos com essas estruturas devem agir imediatamente para evitar comprometimentos na produção.

Impacto no setor

Serviços populares que dependem do React e do Next.js, como plataformas de e-commerce, redes sociais, aplicativos bancários, ferramentas de produtividade e sites de streaming, podem estar em risco se não forem corrigidos. Isso significa que um cibercriminoso pode comprometer os servidores que hospedam aplicativos amplamente utilizados, afetando a disponibilidade, a integridade e a privacidade de milhões de usuários.

Mesmo que seu aplicativo não implemente endpoints do React Server Functions, ele ainda poderá estar vulnerável se for compatível com os componentes do React Server.

Como a falha pode ser explorada

A falha, relatada por Lachlan Davidson, decorre de uma desserialização insegura: o servidor não valida adequadamente a estrutura dos dados que recebe. Isso permite que um cibercriminoso envie uma solicitação HTTP malformada e execute um código JavaScript privilegiado no servidor. Especificamente, o problema ocorre ao decodificar as cargas úteis do protocolo RSC Flight, o que abre a porta para o RCE.

Pacotes e versões do React afetados

O problema afeta as configurações padrão nos pacotes react-server-dom-* e no Next.js App Router; mesmo os aplicativos que não expõem as Server Functions podem estar vulneráveis se suportarem RSC.

React:

• Pacotes: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack.
• Versões: 19.0, 19.1.0, 19.1.1 e 19.2.0.

Next.js:

• Desde 14.3.0-canary.77 e todas as ramificações 15.x e 16.x antes do patch.

Outros projetos potencialmente afetados:

• Plug-in Vite RSC, plug-in Parcel RSC, visualização do React Router RSC, RedwoodSDK, Waku.

Como proteger seu aplicativo

• Atualize imediatamente: React ≥ 19.2.1 e Next.js ≥ 16.x corrigidos;
• Inclua a atualização em seu pipeline de CI/CD;
• Audite as dependências com o npm audit ou com ferramentas como o Snyk;
• Implemente uma validação rigorosa nos dados desserializados;
• Monitore os registros em busca de solicitações malformadas;
• Considere o WAF (Web Application Firewall) para atenuar os ataques em trânsito;
• Adicione testes de segurança automatizados ao seu fluxo de trabalho de desenvolvimento.

Incidentes semelhantes no passado

Esse tipo de vulnerabilidade é uma reminiscência de falhas históricas, como a Log4Shell (2021), que afetou milhões de aplicativos Java devido à desserialização insegura, e a vulnerabilidade no Apache Struts (2017) que permitiu uma execução remota de código em larga escala.

Ambos os incidentes demonstraram como as falhas em componentes amplamente usados podem se tornar vetores de ataque globais, afetando serviços essenciais e gerando custos de milhões de dólares.

Uma ameaça significativa

O React2Shell é um alerta para todo o setor: mesmo as tecnologias modernas e populares não estão isentas de riscos graves. A combinação de adoção generalizada, configurações padrão vulneráveis e exposição pública torna essa falha uma ameaça significativa. A ação imediata é clara: atualizar para versões corrigidas, auditar dependências e aplicar controles adicionais para reduzir a superfície de ataque.