Nos últimos dias de 2025, o mundo do desenvolvimento web enfrentou sua própria versão do “Log4Shell”: uma falha crítica no React, batizada de React2Shell. Catalogada oficialmente como CVE-2025-55182 e avaliada com a pontuação máxima de severidade (CVSS 10.0), essa vulnerabilidade permite que um invasor remoto execute código arbitrário diretamente no servidor, sem necessidade de autenticação.
O problema está localizado nos React Server Components, que são responsáveis pela lógica no backend. A falha recebeu o apelido de “React2Shell” em uma referência direta à já conhecida Log4Shell, o que por si só já demonstra a gravidade da situação.
Origem e descoberta da falha
Essa vulnerabilidade foi descoberta pelo pesquisador Lachlan Davidson, que notificou a equipe do React em 29 de novembro de 2025. A resposta da equipe foi rápida: nos dias seguintes, a correção foi desenvolvida e publicada no repositório do npm em 3 de dezembro. A partir dessa data, a falha foi oficialmente divulgada como CVE-2025-55182.
Apesar da agilidade no lançamento do patch, atores maliciosos também foram rápidos. Poucas horas após o anúncio público, hackers ligados ao Estado chinês — como os grupos Earth Lamia e Jackpot Panda — já iniciavam a exploração de servidores vulneráveis. Essa velocidade só reforça o quão crítica é a vulnerabilidade e a urgência de corrigi-la.
Como a React2Shell funciona?
De forma resumida, trata-se de uma falha de execução remota de código antes da autenticação, explorando uma falha lógica no modo como o React trata os Server Components. O problema está ligado a uma desserialização insegura no protocolo Flight, usado na comunicação entre o front-end e o servidor nesse novo modelo de componentes.
O servidor do React não valida corretamente determinados dados enviados pelo cliente. Assim, um invasor pode enviar uma requisição maliciosa contendo comandos embutidos que são executados automaticamente quando o servidor tenta interpretar esses dados.
É importante destacar que não há necessidade de configurações específicas por parte da vítima. Basta que a aplicação esteja utilizando uma versão vulnerável do React ou do Next.js. Uma simples requisição maliciosa é suficiente para que o código seja executado no servidor. A complexidade é mínima, o ataque é feito por rede e não requer interação do usuário. Os testes demonstram quase 100% de sucesso na exploração.
Até mesmo aplicações padrão criadas com create-next-app, sem qualquer código de servidor personalizado, são vulneráveis por padrão. Isso mostra o quão abrangente é o impacto.
Quais versões foram afetadas?
A falha afeta os seguintes pacotes relacionados aos componentes de servidor do React:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
As versões vulneráveis incluem React 19.0.0, 19.1.0, 19.1.1 e 19.2.0. Como consequência, frameworks e ferramentas que usam esses pacotes também foram afetados. Isso inclui Next.js (versões 15.x e 16.x), além de React Router, Waku, plugins RSC do Vite e Parcel, RedwoodSDK, entre outros.
Vale lembrar que aplicações React que renderizam exclusivamente no cliente (sem o uso de Server Components) não são impactadas. No entanto, aplicações modernas, mesmo sem funções de servidor explícitas, podem estar vulneráveis se utilizarem versões recentes do Next.js que habilitam Server Components por padrão.
Outras vulnerabilidades relacionadas
Junto à CVE-2025-55182, foram divulgadas outras duas falhas nos React Server Components:
- CVE-2025-55184: vulnerabilidade de negação de serviço (DoS), com severidade alta.
- CVE-2025-55183: exposição de código-fonte, com severidade média.
Apesar de importantes, nenhuma delas se compara à gravidade da React2Shell, que representa risco de comprometimento total do servidor.
Impacto e alcance global
O React é um dos frameworks JavaScript mais utilizados no mundo. O Next.js se consolidou como o principal framework de aplicações React com renderização no servidor. Isso amplia significativamente a superfície de ataque.
A plataforma Censys estimou cerca de 2,15 milhões de serviços web expostos ao redor do mundo com potencial de vulnerabilidade. A Shadowserver Foundation, por sua vez, identificou 77 mil hosts vulneráveis logo após a divulgação, número que caiu para 28,9 mil em 7 de dezembro, conforme as correções começaram a ser aplicadas.
A equipe da Wiz Research analisou ambientes em nuvem e encontrou componentes vulneráveis em 39% das empresas avaliadas. Ou seja, quase quatro em cada dez organizações poderiam ser atacadas. E basta uma instância desatualizada para abrir uma brecha.
O cenário é alarmante: uma falha crítica, de fácil exploração, combinada com ampla adoção da tecnologia. Por isso, a analogia com o Log4Shell faz tanto sentido.
Exploração no mundo real
Na prática, os ataques começaram quase que imediatamente após o anúncio da falha. Honeypots da AWS detectaram tentativas de exploração vindas de grupos chineses como Earth Lamia e Jackpot Panda.
Nos dias seguintes, houve um aumento exponencial de scans automatizados e tentativas de exploração em massa. A GreyNoise identificou 95 endereços IP distintos executando ataques já no dia 5 de dezembro.
Os atacantes, ao obterem acesso, têm se aproveitado da situação para:
- Criar shells reversas e vasculhar por credenciais.
- Instalar ferramentas de pós-exploração como o framework Sliver.
- Injetar mineradores de criptomoedas (XMRig) nos servidores comprometidos.
Em ataques mais sofisticados, grupos como o UNC5174 implantaram trojans personalizados (SNOWLIGHT e VShell) com foco em espionagem e persistência em ambientes corporativos.
Alerta internacional
Apenas três dias após a divulgação da falha, em 6 de dezembro, a CISA (agência de segurança cibernética dos EUA) adicionou o CVE-2025-55182 ao seu Catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV). Isso é um forte indicativo de que a exploração está ativa no mundo real, e que todas as organizações devem agir imediatamente.
Como se proteger
As correções já estão disponíveis. A equipe do React lançou as versões:
- React 19.0.1
- React 19.1.2
- React 19.2.1
Essas versões corrigem a falha de desserialização nos componentes de servidor.
A Vercel, responsável pelo Next.js, também disponibilizou atualizações emergenciais em todas as faixas de versão. Algumas das versões corrigidas incluem: Next 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 e 16.0.7.
Além disso, outros frameworks como React Router, Expo, Redwood, Waku e os plugins do Vite e Parcel também lançaram atualizações. O mais seguro é atualizar todas as dependências do seu projeto para as versões mais recentes e estáveis.
Alguns provedores de nuvem, como a AWS, distribuíram regras específicas de firewall para bloquear os padrões de ataque relacionados ao CVE-2025-55182. Contudo, essas medidas são apenas paliativas. A única maneira definitiva de eliminar o risco é aplicando o patch.
Recomenda-se ainda realizar um inventário completo das aplicações em React/Next que você possui. Utilize ferramentas de análise de dependências (SCA) ou scanners específicos para React2Shell. Dê prioridade às aplicações expostas diretamente à internet.
Se seus sistemas ficaram expostos mesmo que por pouco tempo, analise logs de requisições suspeitas, monitore o uso de CPU e memória e verifique os processos em execução nos servidores. Se encontrar indícios de atividade maliciosa, trate como um incidente de segurança completo, com análise forense e troca de credenciais.
Reflexão: a corrida contra o tempo
A lição que fica é clara: a janela entre a descoberta de uma falha e sua exploração está cada vez menor. No caso da React2Shell, foram apenas horas entre o anúncio público e os primeiros ataques em larga escala.
Isso nos mostra que a gestão de patches e a atualização contínua de sistemas precisam ser prioridade absoluta. Nenhum sistema amplamente utilizado está imune. E mesmo tecnologias modernas como o React podem abrigar falhas críticas.
Neste episódio, um aspecto positivo merece destaque: a rapidez da comunidade técnica e a colaboração entre desenvolvedores, mantenedores, fornecedores de nuvem e empresas de segurança. Essa cooperação mostra que, mesmo diante de uma ameaça grave, é possível agir com agilidade e mitigar danos.
Segurança da informação é uma maratona sem linha de chegada. Hoje é o React. Amanhã pode ser outra biblioteca fundamental. Por isso, mantenha seus processos de atualização em dia, invista em testes regulares de segurança e tenha um plano de resposta a incidentes bem definido.
Se este conteúdo foi útil, considere compartilhar com outros profissionais de segurança. Informação ágil salva infraestruturas, e, muitas vezes, reputações.
Se a sua organização ainda está avaliando o impacto da React2Shell ou precisa de apoio técnico para evoluir ambientes críticos com segurança, nossa equipe consultiva da Ivy S/A estará à disposição.
Atuamos lado a lado com empresas que buscam não apenas corrigir falhas, mas evoluir sua infraestrutura com segurança, confiança e conformidade.
Critical React2Shell Flaw Added to CISA KEV After Confirmed Active Exploitation https://thehackernews.com/2025/12/critical-react2shell-flaw-added-to-cisa.html
React2Shell RCE (CVE-2025-55182) Next.js (CVE-2025-66478) | Tenable® https://www.tenable.com/blog/react2shell-cve-2025-55182-react-server-components-rce
Critical Security Vulnerability in React Server Components – React https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182) | AWS Security Blog https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182
React2Shell (CVE-2025-55182): Critical React Vulnerability | Wiz Blog https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
React2Shell CVE-2025-55182: What it is and what to do https://www.dynatrace.com/news/blog/cve-2025-55182-react2shell-critical-vulnerability-what-it-is-and-what-to-do
React2Shell (CVE-2025-55182) https://react2shell.com
NVD – CVE-2025-55182 https://nvd.nist.gov/vuln/detail/CVE-2025-55182
