A falha também conhecida por React2Shell reside no protocolo React Server Components e permite execução de código remota sem autenticação em aplicações com react.js e next.js

Tecnicamente trata-se de uma falha de des-serialização insegura de dados e é representada pelos CVE-2025-55182 (para o React.js) e CVE-2025-66478 (para o Next.js). É possível explorar a falha através de um pedido HTTP modificado aos endpoints com React. A falha é crítica especialmente por causa de afetar todos os servidores que suportem componentes do React (RCS).

Principais componentes afetados do react:

• react-server-dom-parcel

• react-server-dom-turbopack

• react-server-dom-webpack

O que é o React.js?

O react é uma biblioteca de Javascript open-source que serve para fazer interfaces de utilizador, sendo mantida pela Meta e é amplamente adotada no desenvolvimento web front-end.

O que é o Next.js?

É uma framework mantida pela Vercel e que é feita no topo do React, adicionando componentes server-side que permitem arquiteturas escaláveis, mais rápidas e fáceis.

Versões afetadas

• React.js 19.0, 19.1.0, 19.1.1, e 19.2.0

• Next.js 14.3.0-canary.77, e todas as branches 15.x e 16.x abaixo das corrigidas

Versões corrigidas

• React 19.0.1, 19.1.2, e 19.2.1

• Next 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, e 16.0.7

TTPs:

Tática: Initial Access (TA0001):

Técnica: Exploit Public-Facing Application (T1190):

Referências:

Informação do CVE: https://www.cve.org/CVERecord?id=CVE-2025-55182

Blogue da React: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Mais indicadores de compromisso e técnicas de mitigação: https://www.upguard.com/blog/understanding-and-mitigating-cve-2025-55182-react2shell