CISA بهصورت رسمی آسیبپذیری بحرانی React2Shell به شناسه CVE-2025-55182 و امتیاز ۱۰.۰ CVSS را که React Server Components را تحتتأثیر قرار میدهد، به فهرست Known Exploited Vulnerabilities اضافه کرد؛ چون حملات فعال آن در اینترنت تأیید شده است.
این نقص که با نام React2Shell شناخته میشود، ناشی از insecure deserialization در پروتکل Flight است؛ جایی که React برای ارتباط بین سرور و کلاینت از آن استفاده میکند. همین ضعف باعث میشود مهاجم بدون احراز هویت، تنها با ارسال درخواستهای HTTP ساختهشده، بتواند به اجرای کد از راه دور (RCE) روی سرور برسد.
پژوهشگران هشدار دادهاند که فرآیند تبدیل متن به آبجکتها یکی از خطرناکترین کلاسهای آسیبپذیری است و نقطه ضعف React2Shell دقیقاً از همین ناحیه ایجاد شده است.
نسخههای پچشده در React Server Components:
19.0.1
19.1.2
19.2.1
کتابخانهها و فریمورکهای آسیبپذیر:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
و فریمورکهای مبتنی بر آن: Next.js، React Router، Waku، Parcel، Vite، RedwoodSDK
چند ساعت پس از انتشار عمومی، آمازون حملات فعال از سوی گروههای چینی مانند Earth Lamia و Jackpot Panda را مشاهده کرد. دادههای GreyNoise، Wiz، VulnCheck و Fastly هم حملات فرصتی (opportunistic) را تأیید میکنند.
نمونه رفتار مخرب ثبتشده در خصوص آسیبپذیری بحرانی React2Shell:
استقرار ماینر رمزارز
اجرای PowerShell برای تست موفقیت Exploit
استفاده از in-memory downloaders برای دریافت payload
تلاش برای سرقت فایلهای تنظیمات AWS
پلتفرم Censys حدود ۲.۱۵ میلیون سرویس اینترنتی را آسیبپذیر تخمین زده و Shadowserver نیز ۲۸,۹۶۴ IP آسیبپذیر شناسایی کرده که طی دو روز از ۷۷ هزار به این عدد کاهش یافته است.
گزارش Unit 42 نشان میدهد بیش از ۳۰ سازمان تاکنون آسیب دیدهاند و برخی فعالیتها مرتبط با گروه چینی UNC5174 بوده است. بدافزارهایی مانند SNOWLIGHT و VShell نیز مشاهده شدهاند.
با توجه به انتشار چند PoC توسط محقق اصلی و دیگر پژوهشگران، بهروزرسانی سریع برای کاهش ریسک ضروری است.
براساس BOD 22-01، سازمانهای فدرال آمریکا تا ۲۶ دسامبر ۲۰۲۵ فرصت دارند سیستمهای خود را پچ کنند.
