A comunidade de segurança informática e desenvolvimento web está em estado de alerta máximo após a descoberta de uma vulnerabilidade crítica que afeta as bibliotecas React e Next.js. Batizada de "React2Shell", esta falha está a ser explorada ativamente por piratas informáticos ligados à China poucas horas após a sua divulgação pública.
A rapidez com que os atacantes operacionalizaram esta vulnerabilidade demonstra o elevado risco que esta representa para milhares de servidores e aplicações web em todo o mundo.
Execução remota sem autenticação
A falha, identificada como CVE-2025-55182, reside no protocolo 'Flight' dos Componentes de Servidor React (RSC). Trata-se de um problema de desserialização insegura que permite a execução remota de código (RCE) no contexto do servidor. O aspeto mais alarmante desta vulnerabilidade crítica no React é que a sua exploração não exige qualquer tipo de autenticação por parte do atacante.
Embora o Next.js tenha recebido um identificador próprio (CVE-2025-66478), este foi posteriormente classificado como duplicado, centralizando-se as atenções no CVE-2025-55182. A simplicidade de exploração, combinada com a disponibilidade de provas de conceito (PoC) públicas no GitHub, criou uma "tempestade perfeita" para os gestores de sistemas.
Investigadores da Wiz estimam que cerca de 39% dos ambientes cloud que monitorizam são suscetíveis a ataques via React2Shell, o que ilustra a vasta superfície de ataque disponível. Tanto o React como o Next.js já disponibilizaram atualizações de segurança, mas a configuração padrão de muitos projetos deixa-os expostos até que a correção seja aplicada manualmente.
Hackers agiram em questão de horas
A resposta dos agentes de ameaça foi quase imediata. Segundo os dados revelados pela equipa de segurança da AWS, grupos de hackers com ligações estatais à China começaram a explorar a falha apenas algumas horas após a sua divulgação a 3 de dezembro de 2025.
Entre os grupos identificados encontram-se o "Earth Lamia" e o "Jackpot Panda". O relatório indica que estes atacantes não estão apenas a realizar varrimentos automatizados, mas sim a depurar e a refinar ativamente as suas técnicas de exploração contra alvos reais em tempo real. As atividades observadas incluem a execução de comandos Linux para identificação de utilizadores e tentativas de leitura de ficheiros sensíveis do sistema.
Enquanto o Earth Lamia tende a focar-se em vulnerabilidades de aplicações web visando setores financeiros e governamentais na América Latina e Ásia, o Jackpot Panda concentra-se habitualmente em espionagem e recolha de informações no leste asiático. Dada a gravidade da situação, recomenda-se a atualização imediata de todas as dependências afetadas e a utilização de ferramentas de verificação, como o scanner disponibilizado pela plataforma Assetnote, para confirmar a integridade dos sistemas.
Nenhum comentário
Seja o primeiro!