Nos \u00faltimos dias de 2025, o mundo do desenvolvimento web enfrentou sua pr\u00f3pria vers\u00e3o do “Log4Shell”: uma falha cr\u00edtica no React, batizada de React2Shell<\/strong>. Catalogada oficialmente como CVE-2025-55182<\/strong> e avaliada com a pontua\u00e7\u00e3o m\u00e1xima de severidade (CVSS 10.0), essa vulnerabilidade permite que um invasor remoto execute c\u00f3digo arbitr\u00e1rio diretamente no servidor, sem necessidade de autentica\u00e7\u00e3o.<\/p>\n\n\n\n O problema est\u00e1 localizado nos React Server Components<\/strong>, que s\u00e3o respons\u00e1veis pela l\u00f3gica no backend. A falha recebeu o apelido de “React2Shell” em uma refer\u00eancia direta \u00e0 j\u00e1 conhecida Log4Shell, o que por si s\u00f3 j\u00e1 demonstra a gravidade da situa\u00e7\u00e3o.<\/p>\n\n\n\n Essa vulnerabilidade foi descoberta pelo pesquisador Lachlan Davidson, que notificou a equipe do React em 29 de novembro de 2025. A resposta da equipe foi r\u00e1pida: nos dias seguintes, a corre\u00e7\u00e3o foi desenvolvida e publicada no reposit\u00f3rio do npm em 3 de dezembro. A partir dessa data, a falha foi oficialmente divulgada como CVE-2025-55182.<\/p>\n\n\n\n Apesar da agilidade no lan\u00e7amento do patch, atores maliciosos tamb\u00e9m foram r\u00e1pidos. Poucas horas ap\u00f3s o an\u00fancio p\u00fablico, hackers ligados ao Estado chin\u00eas \u2014 como os grupos Earth Lamia<\/strong> e Jackpot Panda<\/strong> \u2014 j\u00e1 iniciavam a explora\u00e7\u00e3o de servidores vulner\u00e1veis. Essa velocidade s\u00f3 refor\u00e7a o qu\u00e3o cr\u00edtica \u00e9 a vulnerabilidade e a urg\u00eancia de corrigi-la.<\/p>\n\n\n\n De forma resumida, trata-se de uma falha de execu\u00e7\u00e3o remota de c\u00f3digo antes da autentica\u00e7\u00e3o<\/strong>, explorando uma falha l\u00f3gica no modo como o React trata os Server Components. O problema est\u00e1 ligado a uma desserializa\u00e7\u00e3o insegura no protocolo Flight<\/strong>, usado na comunica\u00e7\u00e3o entre o front-end e o servidor nesse novo modelo de componentes.<\/p>\n\n\n\n O servidor do React n\u00e3o valida corretamente determinados dados enviados pelo cliente. Assim, um invasor pode enviar uma requisi\u00e7\u00e3o maliciosa contendo comandos embutidos que s\u00e3o executados automaticamente quando o servidor tenta interpretar esses dados.<\/p>\n\n\n\n \u00c9 importante destacar que n\u00e3o h\u00e1 necessidade de configura\u00e7\u00f5es espec\u00edficas por parte da v\u00edtima. Basta que a aplica\u00e7\u00e3o esteja utilizando uma vers\u00e3o vulner\u00e1vel do React ou do Next.js. Uma simples requisi\u00e7\u00e3o maliciosa \u00e9 suficiente para que o c\u00f3digo seja executado no servidor. A complexidade \u00e9 m\u00ednima, o ataque \u00e9 feito por rede e n\u00e3o requer intera\u00e7\u00e3o do usu\u00e1rio. Os testes demonstram quase 100% de sucesso na explora\u00e7\u00e3o.<\/p>\n\n\n\n At\u00e9 mesmo aplica\u00e7\u00f5es padr\u00e3o criadas com create-next-app, sem qualquer c\u00f3digo de servidor personalizado, s\u00e3o vulner\u00e1veis por padr\u00e3o. Isso mostra o qu\u00e3o abrangente \u00e9 o impacto.<\/p>\n\n\n\n A falha afeta os seguintes pacotes relacionados aos componentes de servidor do React:<\/p>\n\n\n\n As vers\u00f5es vulner\u00e1veis incluem React 19.0.0, 19.1.0, 19.1.1 e 19.2.0<\/strong>. Como consequ\u00eancia, frameworks e ferramentas que usam esses pacotes tamb\u00e9m foram afetados. Isso inclui Next.js (vers\u00f5es 15.x e 16.x)<\/strong>, al\u00e9m de React Router, Waku, plugins RSC do Vite e Parcel, RedwoodSDK<\/strong>, entre outros.<\/p>\n\n\n\n Vale lembrar que aplica\u00e7\u00f5es React que renderizam exclusivamente no cliente (sem o uso de Server Components) n\u00e3o s\u00e3o impactadas. No entanto, aplica\u00e7\u00f5es modernas, mesmo sem fun\u00e7\u00f5es de servidor expl\u00edcitas, podem estar vulner\u00e1veis se utilizarem vers\u00f5es recentes do Next.js que habilitam Server Components por padr\u00e3o.<\/p>\n\n\n\n Junto \u00e0 CVE-2025-55182, foram divulgadas outras duas falhas nos React Server Components:<\/p>\n\n\n\n Apesar de importantes, nenhuma delas se compara \u00e0 gravidade da React2Shell, que representa risco de comprometimento total do servidor.<\/p>\n\n\n\n O React \u00e9 um dos frameworks JavaScript mais utilizados no mundo. O Next.js se consolidou como o principal framework de aplica\u00e7\u00f5es React com renderiza\u00e7\u00e3o no servidor. Isso amplia significativamente a superf\u00edcie de ataque.<\/p>\n\n\n\n A plataforma Censys estimou cerca de 2,15 milh\u00f5es de servi\u00e7os web expostos<\/strong> ao redor do mundo com potencial de vulnerabilidade. A Shadowserver Foundation, por sua vez, identificou 77 mil hosts vulner\u00e1veis<\/strong> logo ap\u00f3s a divulga\u00e7\u00e3o, n\u00famero que caiu para 28,9 mil em 7 de dezembro<\/strong>, conforme as corre\u00e7\u00f5es come\u00e7aram a ser aplicadas.<\/p>\n\n\n\n A equipe da Wiz Research<\/strong> analisou ambientes em nuvem e encontrou componentes vulner\u00e1veis em 39% das empresas avaliadas<\/strong>. Ou seja, quase quatro em cada dez organiza\u00e7\u00f5es poderiam ser atacadas. E basta uma inst\u00e2ncia desatualizada para abrir uma brecha.<\/p>\n\n\n\n O cen\u00e1rio \u00e9 alarmante: uma falha cr\u00edtica, de f\u00e1cil explora\u00e7\u00e3o, combinada com ampla ado\u00e7\u00e3o da tecnologia. Por isso, a analogia com o Log4Shell faz tanto sentido.<\/p>\n\n\n\n Na pr\u00e1tica, os ataques come\u00e7aram quase que imediatamente ap\u00f3s o an\u00fancio da falha. Honeypots da AWS detectaram tentativas de explora\u00e7\u00e3o vindas de grupos chineses como Earth Lamia e Jackpot Panda.<\/p>\n\n\n\n Nos dias seguintes, houve um aumento exponencial de scans automatizados e tentativas de explora\u00e7\u00e3o em massa. A GreyNoise identificou 95 endere\u00e7os IP distintos<\/strong> executando ataques j\u00e1 no dia 5 de dezembro.<\/p>\n\n\n\n Os atacantes, ao obterem acesso, t\u00eam se aproveitado da situa\u00e7\u00e3o para:<\/p>\n\n\n\n Em ataques mais sofisticados, grupos como o UNC5174<\/strong> implantaram trojans personalizados (SNOWLIGHT<\/strong> e VShell<\/strong>) com foco em espionagem e persist\u00eancia em ambientes corporativos.<\/p>\n\n\n\n Apenas tr\u00eas dias ap\u00f3s a divulga\u00e7\u00e3o da falha, em 6 de dezembro, a CISA (ag\u00eancia de seguran\u00e7a cibern\u00e9tica dos EUA)<\/strong> adicionou o CVE-2025-55182 ao seu Cat\u00e1logo de Vulnerabilidades Conhecidamente Exploradas (KEV)<\/strong>. Isso \u00e9 um forte indicativo de que a explora\u00e7\u00e3o est\u00e1 ativa no mundo real, e que todas as organiza\u00e7\u00f5es devem agir imediatamente.<\/p>\n\n\n\n As corre\u00e7\u00f5es j\u00e1 est\u00e3o dispon\u00edveis. A equipe do React lan\u00e7ou as vers\u00f5es:<\/p>\n\n\n\n Essas vers\u00f5es corrigem a falha de desserializa\u00e7\u00e3o nos componentes de servidor.<\/p>\n\n\n\n A Vercel, respons\u00e1vel pelo Next.js, tamb\u00e9m disponibilizou atualiza\u00e7\u00f5es emergenciais em todas as faixas de vers\u00e3o. Algumas das vers\u00f5es corrigidas incluem: Next 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 e 16.0.7<\/strong>.<\/p>\n\n\n\n Al\u00e9m disso, outros frameworks como React Router, Expo, Redwood, Waku e os plugins do Vite e Parcel tamb\u00e9m lan\u00e7aram atualiza\u00e7\u00f5es. O mais seguro \u00e9 atualizar todas as depend\u00eancias do seu projeto para as vers\u00f5es mais recentes e est\u00e1veis.<\/p>\n\n\n\n Alguns provedores de nuvem, como a AWS, distribu\u00edram regras espec\u00edficas de firewall para bloquear os padr\u00f5es de ataque relacionados ao CVE-2025-55182. Contudo, essas medidas s\u00e3o apenas paliativas. A \u00fanica maneira definitiva de eliminar o risco \u00e9 aplicando o patch.<\/p>\n\n\n\n Recomenda-se ainda realizar um invent\u00e1rio completo das aplica\u00e7\u00f5es em React\/Next que voc\u00ea possui. Utilize ferramentas de an\u00e1lise de depend\u00eancias (SCA) ou scanners espec\u00edficos para React2Shell. D\u00ea prioridade \u00e0s aplica\u00e7\u00f5es expostas diretamente \u00e0 internet.<\/p>\n\n\n\n Se seus sistemas ficaram expostos mesmo que por pouco tempo, analise logs de requisi\u00e7\u00f5es suspeitas, monitore o uso de CPU e mem\u00f3ria e verifique os processos em execu\u00e7\u00e3o nos servidores. Se encontrar ind\u00edcios de atividade maliciosa, trate como um incidente de seguran\u00e7a completo, com an\u00e1lise forense e troca de credenciais.<\/p>\n\n\n\n A li\u00e7\u00e3o que fica \u00e9 clara: a janela entre a descoberta de uma falha e sua explora\u00e7\u00e3o est\u00e1 cada vez menor. No caso da React2Shell, foram apenas horas entre o an\u00fancio p\u00fablico e os primeiros ataques em larga escala.<\/p>\n<\/blockquote>\n\n\n\n Isso nos mostra que a gest\u00e3o de patches e a atualiza\u00e7\u00e3o cont\u00ednua de sistemas precisam ser prioridade absoluta. Nenhum sistema amplamente utilizado est\u00e1 imune. E mesmo tecnologias modernas como o React podem abrigar falhas cr\u00edticas.<\/p>\n\n\n\n Neste epis\u00f3dio, um aspecto positivo merece destaque: a rapidez da comunidade t\u00e9cnica e a colabora\u00e7\u00e3o entre desenvolvedores, mantenedores, fornecedores de nuvem e empresas de seguran\u00e7a. Essa coopera\u00e7\u00e3o mostra que, mesmo diante de uma amea\u00e7a grave, \u00e9 poss\u00edvel agir com agilidade e mitigar danos.<\/p>\n\n\n\n Seguran\u00e7a da informa\u00e7\u00e3o \u00e9 uma maratona sem linha de chegada. Hoje \u00e9 o React. Amanh\u00e3 pode ser outra biblioteca fundamental. Por isso, mantenha seus processos de atualiza\u00e7\u00e3o em dia, invista em testes regulares de seguran\u00e7a e tenha um plano de resposta a incidentes bem definido.<\/p>\n\n\n\n Se este conte\u00fado foi \u00fatil, considere compartilhar com outros profissionais de seguran\u00e7a. Informa\u00e7\u00e3o \u00e1gil salva infraestruturas, e, muitas vezes, reputa\u00e7\u00f5es.<\/p>\n<\/blockquote>\n\n\n\n Se a sua organiza\u00e7\u00e3o ainda est\u00e1 avaliando o impacto da React2Shell ou precisa de apoio <\/strong>t\u00e9cnico para evoluir ambientes cr\u00edticos com seguran\u00e7a, nossa equipe consultiva da Ivy S\/A <\/strong>estar\u00e1 \u00e0 disposi\u00e7\u00e3o. Atuamos lado a lado com empresas que buscam n\u00e3o apenas corrigir falhas, mas evoluir sua infraestrutura com seguran\u00e7a, confian\u00e7a e conformidade. Critical React2Shell Flaw Added to CISA KEV After Confirmed Active Exploitation https:\/\/thehackernews.com\/2025\/12\/critical-react2shell-flaw-added-to-cisa.html<\/a><\/p>\n\n\n\n React2Shell RCE (CVE-2025-55182) Next.js (CVE-2025-66478) | Tenable\u00ae https:\/\/www.tenable.com\/blog\/react2shell-cve-2025-55182-react-server-components-rce<\/a><\/p>\n\n\n\n Critical Security Vulnerability in React Server Components \u2013 React https:\/\/react.dev\/blog\/2025\/12\/03\/critical-security-vulnerability-in-react-server-components<\/a><\/p>\n\n\n\n China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182) | AWS Security Blog https:\/\/aws.amazon.com\/blogs\/security\/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182<\/a><\/p>\n\n\n\n React2Shell (CVE-2025-55182): Critical React Vulnerability | Wiz Blog https:\/\/www.wiz.io\/blog\/critical-vulnerability-in-react-cve-2025-55182<\/a><\/p>\n\n\n\n React2Shell CVE-2025-55182: What it is and what to do https:\/\/www.dynatrace.com\/news\/blog\/cve-2025-55182-react2shell-critical-vulnerability-what-it-is-and-what-to-do<\/a><\/p>\n\n\n\n React2Shell (CVE-2025-55182) https:\/\/react2shell.com<\/a><\/p>\n\n\n\nOrigem e descoberta da falha<\/strong><\/h3>\n\n\n\n
Como a React2Shell funciona?<\/strong><\/h3>\n\n\n\n
Quais vers\u00f5es foram afetadas?<\/strong><\/h3>\n\n\n\n
\n
<\/li>\n\n\n\n
<\/li>\n\n\n\n
<\/li>\n<\/ul>\n\n\n\nOutras vulnerabilidades relacionadas<\/strong><\/h3>\n\n\n\n
\n
<\/li>\n\n\n\n
<\/li>\n<\/ul>\n\n\n\nImpacto e alcance global<\/strong><\/h3>\n\n\n\n
Explora\u00e7\u00e3o no mundo real<\/strong><\/h3>\n\n\n\n
\n
<\/li>\n\n\n\n
<\/li>\n\n\n\n
<\/li>\n<\/ul>\n\n\n\nAlerta internacional<\/strong><\/h3>\n\n\n\n
Como se proteger<\/strong><\/h3>\n\n\n\n
\n
<\/strong><\/li>\n\n\n\n
<\/strong><\/li>\n\n\n\n
<\/strong><\/li>\n<\/ul>\n\n\n\nReflex\u00e3o: a corrida contra o tempo<\/strong><\/h3>\n\n\n\n
\n
\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\n