- La falla crítica CVE-2025-55182 en els components de React Server permet l'execució remota de codi no autenticat mitjançant una desserialització no segura.
- El problema s'estén posteriorment a Next.js com a CVE-2025-66478, amb ambdues vulnerabilitats classificades com a màximes (CVSS 10).
- Les configuracions predeterminades estan exposades i els investigadors informen d'una fiabilitat d'explotació propera al 100% en molts entorns del món real.
- Els proveïdors han publicat directrius i pegats, i les organitzacions que utilitzen React o Next.js haurien d'actualitzar i revisar les seves implementacions immediatament.
La divulgació de CVE-2025-55182 en components de React Server i el seu impacte relacionat en Next.js s'ha convertit ràpidament en una de les històries de seguretat més debatudes en el món del desenvolupament web. La falla exposa una ruta crítica perquè els atacants aconsegueixin l'execució remota de codi en servidors que depenen d'aquestes tecnologies enormement populars.
Per als equips que han adoptat la pila moderna de React i Next.js, això no és un error acadèmic abstracte. Els investigadors de seguretat alerten que l'explotació és realista i altament fiable., i que les configuracions predeterminades deixen moltes implementacions de producció inesperadament exposades a atacs si no s'hi apliquen pedaços ràpidament.
«React2Shell»: la vulnerabilitat crítica que sacseja la web i per què és important
La vulnerabilitat al centre d'aquesta situació, seguiment públic com a CVE-2025-55182, afecta el protocol que hi ha darrere dels components de React Server (RSC). Els investigadors han anomenat la via d'explotació "React2Shell" per emfatitzar que un atac reeixit pot passar d'una sol·licitud RSC elaborada a un accés complet a nivell de shell al servidor subjacent.
A un nivell alt, el defecte apareix a causa de deserialització no segura de les càrregues útils proporcionades als punts finals de les funcions de React ServerQuan un component de servidor processa aquestes càrregues útils especialment dissenyades, un atacant pot passar d'una gestió de dades aparentment benigna a l'execució arbitrària de codi sense necessitat d'autenticar-se.
Tot i que el problema principal rau en la implementació de codi obert de React, la seva influència no s'atura aquí. Next.js, que es basa en React i s'utilitza àmpliament per a aplicacions de producció, hereta el problema en la seva gestió de la lògica del costat del servidor. Aquest risc posterior es cataloga per separat com a CVE-2025-66478, cosa que amplia efectivament el radi d'explosió a través d'una gran part de la pila web moderna.
Tant CVE-2025-55182 com la seva contrapart Next.js han estat assignat la puntuació màxima de gravetat de 10 sota el sistema comú de puntuació de vulnerabilitats. Aquesta qualificació reflecteix la combinació d'explotabilitat remota, manca de requisits d'autenticació i potencial de compromís complet del sistema.
Què és React2Shell i com funciona?
Sota el capó, els components de React Server es basen en un protocol on el client i el servidor intercanvien càrregues útils serialitzades per gestionar el renderitzat i la lògica del costat del servidor. El nucli de React2Shell és que aquestes càrregues útils es poden manipular de manera que desencadeni una desserialització no segura, permetent que l'entrada controlada per l'atacant s'interpreti com a instruccions executables al servidor.
En un escenari d'atac típic, un adversari crea una càrrega útil maliciosa que té com a objectiu un Punt final de la funció de React Server exposat per una aplicacióCom que la vulnerabilitat es pot activar sense autenticació, l'atacant només necessita accés de xarxa al punt final per intentar explotar-la.
Un cop processada la càrrega útil maliciosa, el servidor pot deserialitzar-la de manera insegura, cosa que difumina la línia entre les dades i el codi. Això obre la porta a l'execució remota de codi, donant a l'atacant la capacitat d'executar ordres arbitràries amb els permisos del procés del servidor.
Segons les troballes compartides públicament per investigadors de Wiz, la via d'explotació no és només teòrica. Durant els experiments interns, van informar d'una explotació d'"alta fidelitat" amb taxes d'èxit properes al 100%. en entorns que van provar. Aquest nivell de fiabilitat redueix dràsticament la barrera per als atacants i augmenta la urgència per als defensors, com il·lustren casos recents de atacs a la cadena de subministrament de npm.
El que fa que això sigui especialment preocupant per als professionals és que El comportament vulnerable és present a les configuracions per defecteEn altres paraules, els desenvolupadors no necessàriament havien d'optar per configuracions no segures; moltes aplicacions estan exposades simplement perquè utilitzen la pila estàndard recomanada.
Abast i impacte: per què tants projectes estan en risc
Les tecnologies implicades fan que aquest sigui un problema particularment estès. React, nascut a Facebook i ara mantingut com a biblioteca de codi obert, és la base d'una gran part de les interfícies web modernes. a causa del seu model basat en components i ecosistema. Next.js, mantingut per Vercel, s'ha convertit en un framework de referència per a la creació d'aplicacions React llestes per a la producció amb renderització del costat del servidor i rutes API.
A causa d'aquesta popularitat, el nombre de desplegaments afectats no és trivial. Els investigadors de Wiz van estimar que al voltant del 40% dels entorns de núvol que van examinar contenien instàncies vulnerables de React o Next.js.Aquesta instantània suggereix que l'error no és un cas límit, sinó una preocupació generalitzada en una àmplia gamma d'organitzacions i indústries.
L'impacte pràctic d'una explotació reeixida pot ser greu. Un cop els atacants aconsegueixen l'execució remota de codi a través de CVE-2025-55182 o la vulnerabilitat Next.js associada, poden accedir a dades sensibles, moure's lateralment dins de l'entorn, instal·lar portes del darrere o utilitzar servidors compromesos com a punts de preparació per a futurs atacs.
Benjamin Harris, fundador i CEO de watchTowr, va destacar que, si bé els detalls tècnics públics encara són relativament limitats, la publicació de pegats és suficient per guiar els atacants deciditsUn cop comencen a revisar els canvis de codi i les notes d'assessorament, esdevé significativament més fàcil reproduir la ruta d'explotació i convertir-la en una arma in situ.
Aquesta dinàmica —la publicació de pegats abans de la remediació generalitzada— sovint crea una cursa. Les organitzacions ara competeixen eficaçment amb els actors d'amenaces per implementar correccions i mesures de mitigació abans que els intents d'explotació s'intensifiquin.
Per què React2Shell és especialment perillós
Diversos factors es combinen per fer que aquesta vulnerabilitat destaqui del flux habitual d'avisos de seguretat. En primer lloc, La manca de requisits d'autenticació significa que els atacants anònims poden atacar directament els punts finals exposatsQualsevol punt final de component de servidor accessible públicament esdevé immediatament part de la superfície d'atac.
En segon lloc, la manera com es manifesta l'error en configuracions del món real porta a fiabilitat d'explotació extremadament altaCom va informar Wiz, en configuracions típiques, la ruta d'explotació va funcionar gairebé sempre en els seus escenaris de prova de concepte, reduint la necessitat de cadenes d'atac complexes o fràgils.
En tercer lloc, el problema toca el nucli de com els components de React Server i Next.js gestionen la lògica del costat del servidor. Perquè el defecte està lligat al propi protocol RSC i no només a una característica de vora estreta., moltes aplicacions hereten el risc simplement seguint patrons estàndard promoguts per la documentació oficial.
Finalment, el context més ampli de l'ecosistema és important. React i Next.js estan profundament integrats en arquitectures natives del núvol i de microserveis. que impulsen tot, des de petites startups fins a grans empreses. Un únic component de servidor compromès podria proporcionar un punt d'entrada a un entorn molt més gran i complex.
Combinades, aquestes propietats expliquen per què les vulnerabilitats s'han classificat al nivell màxim de gravetat i per què la comunitat de seguretat les encoratja fermament. pegats ràpids i avaluació proactiva de riscos en lloc d'una estratègia d'esperar i veure què passa.
Què s'està fent ja (i què hauríeu de fer ara mateix)
Un cop es va informar del problema a través del programa Meta Bug Bounty — l'investigador Lachlan Davidson va notificar a l'equip de React el 29 de novembre — els responsables del manteniment es van traslladar a investigar, corregir i coordinar la divulgació. El projecte React i Vercel, l'empresa que hi ha darrere de Next.js, han publicat ara una guia per ajudar els usuaris a actualitzar el seu programari.
Des del costat del venedor, versions modificades i notes d'assessorament descriuen quines versions estan afectades i com actualitzar-lesLes organitzacions que utilitzen components de React Server o Next.js haurien de revisar acuradament aquests documents, identificar quins desplegaments estan dins de l'abast i programar actualitzacions com a màxima prioritat.
Atès que les configuracions predeterminades són vulnerables, suposar que la "configuració personalitzada" o un ús mínim oferirà protecció és arriscat. Els equips de seguretat haurien de fer un inventari de totes les aplicacions que depenen de components de React Server o Next.js., prestant especial atenció als punts finals d'accés públic exposats a Internet.
Tot i que aplicar pegats és el pas principal, també és sensat considerar mitigacions a curt termini. Restringir l'exposició pública innecessària dels punts finals dels components del servidor, endurir els controls d'accés a la xarxa sempre que sigui possible i millorar la supervisió de patrons de sol·licituds sospitoses poden reduir el risc mentre es despleguen les actualitzacions, a més de revisar-la gestió segura de secrets a GitHub Actions.
Les organitzacions també poden voler treballar estretament amb els seus equips de desenvolupament per a revisar el registre, els plans de resposta a incidents i qualsevol signe d'activitat inusual al voltant dels serveis React o Next.js, incloent-hi el ús de Burp Collaborator per detectar interaccions fora de banda.
Què significa això per a l'ecosistema web i què cal tenir en compte
L'aparició de CVE-2025-55182 i la seva contrapart Next.js planteja preguntes més àmplies sobre com els marcs web en ràpida evolució gestionen la seguretat en funcions complexes del costat del servidorEls components de React Server, tot i ser potents, introdueixen nous patrons de comunicació i lògica de serialització que requereixen un examen rigorós.
Per a l'ecosistema en general, aquest incident és un recordatori que fins i tot les tecnologies madures i àmpliament adoptades poden albergar vulnerabilitats d'alt impacte arrelades en detalls subtils d'implementacióLa combinació d'optimitzacions de rendiment, comoditat per als desenvolupadors i API flexibles de vegades pot emmascarar suposicions de seguretat profundes fins que els investigadors les posen a prova.
De cara al futur, és probable que tant les comunitats React com Next.js vegin major èmfasi en la gestió segura de les funcions del servidor, la serialització de la càrrega útil i les configuracions predeterminadesLes organitzacions preocupades per la seguretat també poden pressionar per obtenir una guia més clara, opcions d'enduriment més explícites i una documentació més àmplia sobre pràctiques segures a l'hora de crear amb components de servidor.
Mentrestant, els defensors haurien de seguir de prop les actualitzacions dels canals oficials del projecte, els proveïdors de seguretat i els investigadors que continuen analitzant la vulnerabilitat. Noves proves de concepte, regles de detecció i recomanacions de bones pràctiques és probable que apareguin a mesura que més experts aprofundeixin en els detalls de React2Shell i les seves variants.
En definitiva, aquest episodi subratlla que Mantenir la seguretat de les piles web modernes és un procés continu, no és una tasca de configuració puntual. A mesura que els marcs de treball evolucionen, també ho fan les seves possibles superfícies d'atac, i les organitzacions que s'adapten ràpidament tendeixen a tenir millors resultats quan surten a la llum defectes crítics.
Per a qualsevol equip que confiï en React o Next.js en producció, CVE-2025-55182 serveix com a senyal clar: tractar les funcions del costat del servidor amb el mateix rigor de seguretat que qualsevol altra infraestructura crítica, estigueu al corrent dels avisos aigües amunt i prepareu-vos per actuar ràpidament quan sorgeixin problemes amb aquest nivell d'impacte.
Aquesta cobertura es basa en informació publicada originalment per mitjans de comunicació centrats en la ciberseguretat i avisos de proveïdors, i destaca com React2Shell ha passat ràpidament d'informe privat a prioritat urgent. per a organitzacions de tot el web.
