Kritična ranljivost, sledena kot CVE-2025-55182 (ocena CVSS: 10,0), prizadene protokol Flight v React Server Components (RSC). Osnovni vzrok težave je nevarna deserializacija, ki napadalcu omogoča vbrizganje zlonamerne logike, ki jo strežnik izvede v privilegiranem kontekstu. Prizadene tudi druge ogrodja, vključno z Next.js, Waku, Vite, React Router in RedwoodSDK.
»Zadostuje ena sama posebej oblikovana HTTP zahteva; ni zahteve po avtentikaciji, interakciji uporabnika ali povišanih dovoljenjih,« je povedala ekipa Cloudforce One, obveščevalna skupina za grožnje podjetja Cloudflare. »Ko je napad uspešen, lahko napadalec izvede poljubno privilegirano kodo JavaScript na prizadetem strežniku.«
Od javnega razkritja 3. decembra 2025 so to pomanjkljivost izkoristili številni akterji groženj v različnih kampanjah za izvajanje izvidniških dejavnosti in dostavo širokega nabora družin zlonamerne programske opreme.
Kibernetska varnost
Dogajanje je spodbudilo agencijo CISA, da je ranljivost prejšnji petek dodala v svoj katalog znanih izkoriščanih ranljivosti ter zveznim agencijam določila rok do 26. decembra za namestitev popravkov. Rok je bil medtem spremenjen na 12. december 2025, kar kaže na resnost incidenta.
Podjetje za varnost v oblaku Wiz je sporočilo, da je opazilo »hiter val oportunističnega izkoriščanja« te pomanjkljivosti, pri čemer je velika večina napadov usmerjena na internetno izpostavljene aplikacije Next.js in druge kontejnerizirane delovne obremenitve, ki tečejo v Kubernetesu in upravljanih storitvah v oblaku.
Vir slike: Cloudflare
Cloudflare, ki prav tako spremlja aktivnosti izkoriščanja v teku, je sporočil, da so akterji groženj izvajali iskanja z uporabo platform za skeniranje celotnega interneta in odkrivanje sredstev, da bi našli izpostavljene sisteme, na katerih tečejo aplikacije React in Next.js. Zlasti so nekatera izvidniška prizadevanja izključila kitajske naslovne prostore IP iz svojih iskanj.
»Njihovo najgostejše sondiranje je bilo usmerjeno proti omrežjem na Tajvanu, v Xinjiang Ujgur, Vietnamu, na Japonskem in na Novi Zelandiji – regijah, ki so pogosto povezane s prednostnimi nalogami zbiranja geopolitičnih obveščevalnih podatkov,« je povedalo podjetje za spletno infrastrukturo.
Opažena aktivnost naj bi bila usmerjena tudi, čeprav bolj selektivno, proti vladnim spletnim mestom (.gov), akademskim raziskovalnim ustanovam in operaterjem kritične infrastrukture. To je vključevalo nacionalni organ, odgovoren za uvoz in izvoz urana, redkih kovin in jedrskega goriva.
Nekatere druge pomembne ugotovitve so navedene spodaj:
- Dajanje prednosti visoko občutljivim tehnološkim ciljem, kot so upravljalniki gesel za podjetja in storitve varnih trezorjev, verjetno z namenom izvedbe napadov na dobavno verigo
- Ciljanje robnih naprav SSL VPN, katerih administrativni vmesniki lahko vključujejo komponente na osnovi Reacta
- Zgodnji poskusi skeniranja in izkoriščanja so izvirali z naslovov IP, ki so bili predhodno povezani z azijskimi grozdi groženj
V lastni analizi podatkov iz vab je Kaspersky sporočil, da je v enem samem dnevu, 10. decembra 2025, zabeležil več kot 35.000 poskusov izkoriščanja, pri čemer so napadalci najprej sondirali sistem z izvajanjem ukazov, kot je whoami, preden so namestili rudarje kriptovalut ali družine zlonamerne programske opreme za botnete, kot so različice Mirai/Gafgyt in RondoDox.
Nekateri drugi opaženi koristni tovori vključujejo oddajnike Cobalt Strike, Sliver, Fast Reverse Proxy (FRP), orodje za nadzor z imenom Nezha, koristni tovor Node.js, ki zbira občutljive datoteke in orožji TruffleHog ter Gitleaks za zbiranje skrivnosti, ter stranska vrata na osnovi Go z zmogljivostmi povratne lupine, izvidništva in ukazovanja ter nadzora (C2).
Vzporedno naj bi React2Shell po podatkih VulnCheck proizvedel več kot 140 dokazov koncepta (proof-of-concept) v uporabi različne kakovosti, pri čemer je približno polovica od njih pokvarjenih, zavajajočih ali drugače neuporabnih. Preostali repozitoriji izkoriščanj vsebujejo logiko za nalaganje spletnih lupin v pomnilnik, kot je Godzilla, skeniranje za to pomanjkljivost in celo namestitev lahkega požarnega zidu spletnih aplikacij (WAF) za blokiranje zlonamernih koristnih tovorov.
Kibernetska varnost
Varnostni raziskovalec Rakesh Krishnan je odkril tudi odprt imenik, gostovan na »154.61.77[.]105:8082«, ki vključuje skript za izkoriščanje dokaza koncepta (PoC) za CVE-2025-55182 skupaj z dvema drugima datotekama:
- »domains.txt«, ki vsebuje seznam 35.423 domen
- »next_target.txt«, ki vsebuje seznam 596 URL-jev, vključno s podjetji, kot so Dia Browser, Starbucks, Porsche in Lululemon
Ocenjeno je bilo, da neidentificirani akter groženj aktivno skenira internet na podlagi ciljev, dodanih v drugo datoteko, in v tem procesu okuži na stotine strani.
Podjetje za kibernetsko varnost in kibernetsko zavarovanje Coalition je React2Shell primerjalo z ranljivostjo Log4Shell iz leta 2021 (CVE-2021-44228) ter jo opisalo kot »sistemski dogodek agregacije kibernetskega tveganja«.
Po najnovejših podatkih fundacije The Shadowserver Foundation je na dan 11. decembra 2025 na internetu izpostavljenih več kot 137.200 naslovov IP z ranljivo kodo. Od teh se več kot 88.900 primerkov nahaja v ZDA, sledijo Nemčija (10.900), Francija (5.500) in Indija (3.600).