La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha instó agencias federales para parchear los recientes React 2 Shell vulnerabilidad antes del 12 de diciembre de 2025, en medio de informes de explotación generalizada.
La vulnerabilidad crítica, rastreada como CVE-2025-55182 (puntuación CVSS: 10.0), afecta al protocolo de vuelo de React Server Components (RSC). La causa subyacente del problema es una deserialización insegura que permite a un atacante inyectar una lógica malintencionada que el servidor ejecuta en un contexto privilegiado. También afecta a otros marcos, como Next.js, Waku, Vite, React Router y RedwoodSDK.
«Una sola solicitud HTTP especialmente diseñada es suficiente; no hay ningún requisito de autenticación, interacción con el usuario ni permisos elevados», dijo Cloudforce One, el equipo de inteligencia de amenazas de Cloudflare, dijo . «Una vez que tenga éxito, el atacante puede ejecutar JavaScript arbitrario y privilegiado en el servidor afectado».
Desde su divulgación pública el 3 de diciembre de 2025, la deficiencia ha sido explotado por múltiples actores de amenazas en varias campañas para participar en los esfuerzos de reconocimiento y ofrecer una amplia gama de familias de malware.
El desarrollo incitado La CISA lo agregará a su catálogo de vulnerabilidades conocidas explotadas el viernes pasado, dando a las agencias federales hasta el 26 de diciembre para aplicar las correcciones. Desde entonces, la fecha límite ha sido revisado al 12 de diciembre de 2025, una indicación de la gravedad del incidente.
La empresa de seguridad en la nube Wiz dijo ha observado una «rápida ola de explotación oportunista» de la falla, y la gran mayoría de los ataques se dirigieron a aplicaciones Next.js orientadas a Internet y otras cargas de trabajo en contenedores que se ejecutan en Kubernetes y en servicios gestionados en la nube.
|
| Fuente de la imagen: Cloudflare |
Cloudflare, que también está rastreando la actividad de explotación en curso, dijo que los actores de amenazas han realizado búsquedas utilizando plataformas de escaneo y descubrimiento de activos en Internet para encontrar sistemas expuestos que ejecutan aplicaciones React y Next.js. Cabe destacar que algunos de los esfuerzos de reconocimiento han excluido los espacios de direcciones IP chinas de sus búsquedas.
«Su mayor densidad de sondeos se produjo contra redes en Taiwán, Xinjiang Uigur, Vietnam, Japón y Nueva Zelanda, regiones que con frecuencia se asocian con las prioridades de recopilación de inteligencia geopolítica», dijo la empresa de infraestructura web.
También se dice que la actividad observada se dirigió, aunque de manera más selectiva, a sitios web gubernamentales (.gov), instituciones de investigación académica y operadores de infraestructuras críticas. Esto incluía una autoridad nacional responsable de la importación y exportación de uranio, metales raros y combustible nuclear.
Algunos de los otros hallazgos notables se enumeran a continuación:
- Priorizar los objetivos tecnológicos de alta sensibilidad, como los administradores de contraseñas empresariales y los servicios de bóveda segura, probablemente con el objetivo de perpetrar ataques a la cadena de suministro
- Dirigido a los dispositivos VPN SSL periféricos cuyas interfaces administrativas pueden incorporar componentes basados en React
- Los primeros intentos de exploración y explotación se originaron en direcciones IP previamente asociadas a clústeres de amenazas afiliados a Asia
En su propio análisis de los datos de honeypot, Kaspersky dijo registró más de 35 000 intentos de explotación en un solo día, el 10 de diciembre de 2025, y los atacantes primero probaron el sistema ejecutando comandos como whoami, antes de dejar caer a los mineros de criptomonedas o a familias de malware de botnets, como las variantes Mirai/Gafgyt y RondoDox.
El investigador de seguridad Rakesh Krishnan también ha descubierto un directorio abierto alojado en «154.61.77 [.] 105:8082» que incluye un script de explotación de prueba de concepto (PoC) para CVE-2025—55182 junto con otros dos archivos -
- «domains.txt», que contiene una lista de 35.423 dominios
- «next_target.txt», que contiene una lista de 596 URL, incluidas empresas como Dia Browser, Starbucks, Porsche y Lululemon
Se ha determinado que el actor de amenazas no identificado está escaneando activamente Internet basándose en los objetivos añadidos al segundo archivo, infectando cientos de páginas en el proceso.
Según los últimos datos de The Shadowserver Foundation, hay más de 137.200 direcciones IP expuestas a Internet ejecutar código vulnerable a partir del 11 de diciembre de 2025. De estos, más 88.900 instancias se encuentran en EE. UU., seguidos de Alemania (10.900), Francia (5.500) e India (3.600).