Vulnerabilidade React2Shell continua explorada

Publicado em: 17 de março de 2026
Atualizado em: 17 de março de 2026
por Adriano Cansian.

Nas últimas horas foi disponibilizada uma versão pública e totalmente funcional de uma ferramenta de prova de conceito de exploit, completo e “dockerizado”, de RCE não autenticado contra aplicações Next.js/React Server Components, vulneráveis ao CVE‑2025‑55182 (React2Shell). Essa PoC explora um bug de desserialização no protocolo React Flight.

O ator de ameaça dessa PoC aparenta estar ligado a sugere mais fortemente a Taiwan, com menor probabilidade de Hong Kong ou Macau, mas não é conclusivo no momento. Relatórios de inteligência ligam a exploração em massa do CVE‑2025‑55182 a grupos China‑nexus (Earth Lamia, Jackpot Panda, etc.)

Essa vulnerabilidade é do ano passado (2025) e já foi abordada aqui duas oportunidades, a saber:

Essa PoC se junta a diversas outras que começaram a surgir pouco depois da divulgação inicial da falha. Atualmente já existem dezenas de variantes voltadas principalmente para Next.js, inclusindo, como no caso em questão desse alerta, ambientes dockerizados para reprodução rápida e uso por scanners e ferramentas de exploração automatizada.

O bug é classificado como CWE‑502 (desserialização de dados não confiáveis) e recebeu CVSS 10.0, com advisory oficial da React, Facebook e Next.js.

O que o POC demonstra

  • Execução de código remoto no servidor com um único POST HTTP, sem autenticação, contra uma app Next.js criada com create-next-app em versões afetadas (React 19.0.0–19.2.0; Next 14.3.0‑canary.77+, 15.x, 16.x).
  • A exploração não exige código customizado além de um Server Action trivial; qualquer projeto padrão com RSC/Server Actions entra no escopo.
  • O payload final executa comandos de sistema via process.mainModule.require('child_process').execSync(...), exemplificado escrevendo RCE_SUCCESS em /tmp/rce_output dentro do container.

Probabilidade de exploração

O EPSS mais recente publicado (17/3/2026) para o CVE‑2025‑55182 está em torno de 0,69 (≈69,8%), indicando alta probabilidade de exploração nos próximos 30 dias.

Correção

A solução definitiva para a CVE-2025-55182 já deveria ter sido feita, uma vez que é simples e se trata apenas de atualizar os pacotes afetados para as versões corrigidas.

O patch principal simplesmente muda a resolução de propriedades para só aceitar chaves próprias (hasOwnProperty), bloqueando o acesso a __proto__/constructor/constructor, e endurece o tratamento de erros no decodeReplyFromBusboy.

Atualize imediatamente para:

  • react-server-dom-webpack/parcel/turbopack ≥ 19.0.1, 19.1.2 ou 19.2.1 (ou superiores).
    Para Next.js (afetado via dependências), use comandos como npm install next@15.5.10 ou versões mais recentes por linha de release (ex: 14.2.35 para 14.x).

Instruções de atualização:

  • Rode npm install react@latest react-dom@latest react-server-dom-webpack@latest (ajuste para parcel/turbopack se aplicável).
  • Para frameworks como Next.js, React Router ou Waku, siga as instruções específicas no blog oficial do React.
    Verifique a árvore de dependências com npm ls para confirmar pacotes vulneráveis.

Referências

Nota de transparência: 

Essa publicação artigo NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.

Tags: , , , , .

Categorias: Uncategorized.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.