La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el viernes de manera formal adicional una falla de seguridad crítica que afecta a React Server Components (RSC) y sus vulnerabilidades conocidas explotadas ( KEV ) catálogo tras los informes de explotación activa en la naturaleza.
La vulnerabilidad, CVE-2025-55182 (puntuación CVSS: 10,0), se refiere a un caso de ejecución remota de código que podría ser desencadenado por un atacante no autenticado sin necesidad de ninguna configuración especial. También se rastrea como React2Shell.
«Meta React Server Components contiene una vulnerabilidad de ejecución remota de código que podría permitir la ejecución remota de código sin autenticar al aprovechar una falla en la forma en que React decodifica las cargas útiles enviadas a los puntos finales de React Server Function», afirma CISA en un aviso.
El problema proviene de deserialización insegura en el protocolo Flight de la biblioteca, que React usa para comunicarse entre un servidor y un cliente. Como resultado, esto lleva a un escenario en el que un atacante remoto no autenticado puede ejecutar comandos arbitrarios en el servidor enviando solicitudes HTTP especialmente diseñadas.
«El proceso de convertir texto en objetos se considera en general una de las clases de vulnerabilidades de software más peligrosas», dijo Martin Zugec, director de soluciones técnicas de Bitdefender, dijo . «La vulnerabilidad de React2Shell reside en el paquete react-server, específicamente en la forma en que analiza las referencias a los objetos durante la deserialización».
La vulnerabilidad se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de las siguientes bibliotecas:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Algunos de los marcos posteriores que dependen de React también se ven afectados. Esto incluye: Next.js, React Router, Waku, Parcel, Vite y RedwoodSDK.
El desarrollo viene después de Amazon reportó que observó intentos de ataque originados en infraestructuras asociadas a grupos de piratas informáticos chinos como Earth Lamia y Jackpot Panda pocas horas después de que se revelara públicamente la falla. Coalición , Rápidamente , Ruido gris , Comprobación de Vuln , y Mago también han informado de que se han realizado esfuerzos de explotación para atacar la falla, lo que indica que múltiples actores de amenazas están realizando ataques oportunistas.
|
| Fuente de la imagen: GreyNoise |
Algunos de los ataques han consistido en el despliegue de mineros de criptomonedas, así como en la ejecución de comandos de PowerShell «matemáticos baratos» para comprobar que la explotación ha tenido éxito, seguidos de la ejecución de comandos para colocar en memoria descargadores capaces de recuperar una carga útil adicional de un servidor remoto.
Según los datos compartido Según la plataforma de gestión de superficies de ataque Censys, hay alrededor de 2,15 millones de instancias de servicios conectados a Internet que pueden verse afectadas por esta vulnerabilidad. Esto incluye los servicios web expuestos que utilizan componentes de React Server y las instancias expuestas de marcos como Next.js, Waku, React Router y RedwoodSDK.
En una declaración compartida con The Hacker News, la Unidad 42 de Palo Alto Networks dijo que había confirmado que más de 30 organizaciones afectadas en numerosos sectores, y que un conjunto de actividades congruentes con un equipo de hackers chino rastreado como UNC5174 (también conocido como CL-STA-1015). Los ataques se caracterizan por el despliegue de LUZ DE NIEVE y Concha en V .
«Hemos observado el escaneo en busca de RCE vulnerables, la actividad de reconocimiento, el intento de robo de los archivos de configuración y credenciales de AWS, así como la instalación de descargadores para recuperar las cargas útiles de la infraestructura de mando y control de los atacantes», afirma Justin Moore, gerente sénior de investigación de inteligencia sobre amenazas de la Unidad 42 de Palo Alto Networks.
El investigador de seguridad Lachlan Davidson, a quien se le atribuye el descubrimiento y la denuncia de la falla, ha publicado múltiples exploits de prueba de concepto (PoC), por lo que es imperativo que los usuarios actualicen sus instancias a la versión más reciente lo antes posible. ¿Otro PoC en funcionamiento ha sido publicado de un investigador taiwanés que usa el nombre de usuario de GitHub maple3142.
De conformidad con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 26 de diciembre de 2025 para aplicar las actualizaciones necesarias para proteger sus redes.