- Обнаружено 77 664 IP-адреса с уязвимыми серверными компонентами React, подверженными атаке React2Shell (CVE-2025-55182).
- Более 30 организаций уже пострадали от эксплуатации данной уязвимости, злоумышленники получают удалённое выполнение кода на серверах.
- Уязвимость устранена в обновлениях React 19.0.1, 19.1.2 и 19.2.1, федеральные агентства обязаны их установить к декабрю 2025 года.
Специалисты группы интернет-контроля Shadowserver выявили обширную уязвимость в серверных компонентах веб-фреймворка React (React Server Components, RSC), которую используют около 77 664 IP-адресов по всему миру, включая примерно 23 700 в США и около 3 тысяч в России. Уязвимость, получившая идентификатор CVE-2025-55182 и известная под названием React2Shell, позволяет злоумышленникам выполнить произвольный код на сервере через отправку специально сформированного запроса.
Данный дефект безопасности присутствует в экспериментальных компонентах react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack, применяемых для рендеринга интерфейса на серверной стороне в версиях React 19.0.0, 19.1.0, 19.1.1 и 19.2.0. Устранение проблемы было реализовано в патчах React 19.0.1, 19.1.2 и 19.2.1, рекомендуемых к немедленному внедрению.
Исследователи уязвимых систем применяли метод обнаружения, разработанный компаниями Searchlight Cyber и Assetnote, отправляя на серверы проверочные HTTP-запросы и анализируя ответы. В свою очередь, аналитики GreyNoise зафиксировали 181 IP-адреса, с которых осуществлялись попытки эксплуатации уязвимости за последние сутки — большая часть трафика представляла собой автоматизированные атаки, исходившие из Нидерландов, Китая, США и Гонконга.
Компания Palo Alto Networks проинформировала о более чем 30 организациях, ставших жертвами эксплуатации React2Shell. Атакующие запускали команды для разведки на целевых серверах, пытались похитить конфигурационные файлы и учётные данные AWS. Характерной тактикой злоумышленников являются команды PowerShell, которые сначала подтверждают уязвимость (например, выполняя простые математические операции), а затем загружают вредоносные скрипты в оперативную память с использованием кодировки base64. Один из таких скриптов отключает защиту AMSI, способствуя успешному внедрению вредоносной нагрузки, включая установку маяка Cobalt Strike для устойчивого присутствия в сети.
Аналитики Amazon AWS зафиксировали аналогичные признаки эксплуатации, включая попытки доступа к системной информации и файловой системе серверов. В связи с высоким уровнем риска Агентство по безопасности и безопасности инфраструктуры США (CISA) включило CVE-2025-55182 в каталог известных эксплуатируемых уязвимостей с требованием для федеральных организаций установить обновления не позднее 26 декабря 2025 года.
Эксперты настоятельно рекомендуют всем организациям, использующим серверные компоненты React или основанные на них фреймворки, оперативно обновить версии программного обеспечения до исправленных, провести повторную сборку и развертывание приложений, а также тщательно проанализировать логи на предмет признаков выполнения подозрительных PowerShell-команд.
