2,15 εκατομμύρια υπηρεσίες Ιστού που εκτελούνται Next.js εκτίθενται μέσω Διαδικτύου, Ενεργή εκμετάλλευση σε εξέλιξη – Ενημερώστε τώρα

Ένα κρίσιμο θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα χωρίς έλεγχο ταυτότητας που ονομάζεται “React2Shell” χρησιμοποιείται ενεργά στην άγρια ​​φύση, θέτοντας εκατομμύρια υπηρεσίες Ιστού σε κίνδυνο.

Στις 3 Δεκεμβρίου, η React αποκάλυψε το CVE-2025-55182, ένα κρίσιμο ελάττωμα στα React Server Components με βαθμολογία CVSS 10.

Η ευπάθεια προέρχεται από την ανασφαλή αποσειριοποίηση εντός του πρωτοκόλλου “Flight” που χρησιμοποιείται από τα React Server Components.

Οι εισβολείς μπορούν να εκτελέσουν αυθαίρετο κώδικα σε ευάλωτους διακομιστές στέλνοντας ειδικά διαμορφωμένα αιτήματα HTTP στα τελικά σημεία της Λειτουργίας διακομιστή χωρίς να απαιτείται έλεγχος ταυτότητας. Αυτό επιτρέπει στους παράγοντες της απειλής να αποκτήσουν τον πλήρη έλεγχο των επηρεαζόμενων συστημάτων.

Οι ερευνητές των Υπηρεσιών Ιστού της Amazon ανέφεραν ότι οι παράγοντες της απειλής China-nexus, συμπεριλαμβανομένων των Earth Lamia και Jackpot Panda, άρχισαν να εκμεταλλεύονται αυτήν την ευπάθεια εντός 24 ωρών από τη δημόσια αποκάλυψή της.

Οι εισβολείς στοχεύουν ευάλωτες εφαρμογές που φιλοξενούνται στο cloud χρησιμοποιώντας τα React Server Components. Συχνά, αναπτύσσουν κελύφη ιστού και κερκόπορτες λίγο μετά την απόκτηση αρχικής πρόσβασης.

Από τις 5 Δεκεμβρίου, η CISA πρόσθεσε το CVE-2025-55182 στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, υπογραμμίζοντας τη σοβαρότητα και την ενεργό εκμετάλλευση αυτού του ελαττώματος.

Η GreyNoise έχει επίσης τεκμηριώσει ευκαιριακές απόπειρες εκμετάλλευσης εναντίον των honeypots τους, υποδεικνύοντας εκτεταμένη δραστηριότητα σάρωσης και εκμετάλλευσης στο διαδίκτυο.

Σύμφωνα με Censysπερίπου 2,15 εκατομμύρια υπηρεσίες ιστού που έχουν πρόσβαση στο διαδίκτυο ενδέχεται να επηρεαστούν από αυτήν την ευπάθεια.

Αυτές περιλαμβάνουν εκτεθειμένες υπηρεσίες που εκτελούν React Server Components και επηρεαζόμενα πλαίσια όπως Next.js, Waku, React Router και RedwoodSDK.

Αν και αυτός ο αριθμός αντικατοπτρίζει την έκθεση λογισμικού και όχι τις επιβεβαιωμένες ευάλωτες εκδόσεις, η κλίμακα του πιθανού αντίκτυπου είναι σημαντική δεδομένης της δημοτικότητας αυτών των πλαισίων.

Η ευπάθεια επηρεάζει τα πακέτα React Server Components, συμπεριλαμβανομένων των react-server-dom-webpack, react-server-dom-parcel και react-server-dom-turbopack, στις εκδόσεις 19.0.0 έως 19.2.0.

Πολλά δημοφιλή πλαίσια εξαρτώνται από αυτά τα πακέτα, συμπεριλαμβανομένων των εκδόσεων Next.js 14.3.0-canary.77 και νεότερες, όταν χρησιμοποιείτε το App Router, το React Router RSC preview, το Waku, το Vite RSC Plugin, το Parcel RSC Plugin και το RedwoodSDK.

Οι αμιγείς εφαρμογές React από την πλευρά του πελάτη που δεν εκτελούν στοιχεία διακομιστή δεν επηρεάζονται.

Ωστόσο, οι εφαρμογές που υλοποιούν React Server Components παραμένουν ευάλωτες ακόμα και αν δεν χρησιμοποιούν ρητά τελικά σημεία Λειτουργίας διακομιστή.

Οι σταθερές εκδόσεις είναι πλέον διαθέσιμες. Οι οργανισμοί θα πρέπει να ενημερώσουν αμέσως το React 19.0.1, 19.1.2 ή 19.2.1.

Οι χρήστες του Next.js θα πρέπει να κάνουν αναβάθμιση στις εκδόσεις 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ή 16.0.7 ανάλογα με την τρέχουσα έκδοσή τους.

Ενώ οι πάροχοι WAF, συμπεριλαμβανομένων των Cloudflare και AWS, έχουν αναπτύξει προστατευτικά σύνολα κανόνων, ορισμένα proof-of-concept exploits επιδεικνύουν τεχνικές παράκαμψης. Το patching παραμένει η πιο αξιόπιστη στρατηγική μετριασμού.

Δεδομένης της ενεργητικής εκμετάλλευσης, της μέγιστης βαθμολογίας σοβαρότητας και της ευρείας υιοθέτησης πλαισίου, οι οργανισμοί που εκτελούν React Server Components θα πρέπει να το αντιμετωπίζουν ως προτεραιότητα ενημέρωσης κώδικα έκτακτης ανάγκης.