React2Shell угрожает миллионам серверов

Даркий декабрь для React и Next.js: в React Server Components исправлена выбившая десяточку по CVSS критическая уязвимость. Под произвольный код без аутентификации, а как иначе? А название-то какое интересное: React2Shell…

CVE-2025-55182 раскрыли вчера вечером, и всё ожидаемо стоит на ушах. Cloudflare выкатывает костыли, Unit 42 насчитал под миллион уязвимых серверов, по данным Wiz уязвимы 40% облачной инфраструктуры — отметились все причастные. CVE затрагивает дефолтные конфигурации многих фреймворков, включая next, react-router, waku и другие; эксплойт возможен в библиотеках, которые просто поддерживают RSC. Небезопасная обработка сериализованной полезной нагрузки, вредоносный запрос ведёт к RCE.

Массовая эксплуатация неизбежна, анализ патчей идёт полным ходом вот уже прямо сейчас, и на React и его фреймворках выстроена половина сети. Иными словами, возможно, пришло время накатывать патчи. Спасайте свои интернеты, глупцы!

Ожидаемо пошёл эксплойт React2Shell. Уже в первые часы после раскрытия были зафиксированы атаки в исполнении китайских APT. Ну а сегодня начали появляться валидные PoC, которые уже не представляют собой бесполезный ИИ-слоп.

AWS сообщила, что эксплойт начался практически сразу после публикации патчей — пока ты спишь, китайский сумрачный гений работает. Над реверс-инжинирингом. Так что в ханипоты в считанные часы стали залетать апэтэшечки, связанные с Китаем. А с учётом публичных проверок концепции (можно подсмотреть, например, здесь, к эксплуатации сейчас присоединяются все желающие. Масштабы не такие дикие, как были у Log4Shell — нет древних легаси-систем и прочего встроенного на годы вперёд, но сиюминутный потенциал сопоставим, особенно с оглядкой на простоту эксплойта. Так что кто патчи не накатил, тот и проиграл.

Ранее в Redis также обнаружили критическую уязвимость, получившую название RediShell.