Torrance, Ηνωμένες Πολιτείες / Καλιφόρνια, 12 Δεκεμβρίου 2025, CyberNewsWire
Τον Δεκέμβριο του 2025, αποκαλύφθηκε δημόσια το CVE-2025-55182 (React2Shell), μια ευπάθεια στα React Server Components (RSC) που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE).
Λίγο μετά τη δημοσίευση, πολλοί προμηθευτές ασφάλειας ανέφεραν δραστηριότητα σάρωσης και ύποπτες απόπειρες εκμετάλλευσης και η CISA έκτοτε πρόσθεσε το ελάττωμα στον κατάλογό της Γνωστές Εκμεταλλευόμενες Ευπάθειες (KEV).
Το React2Shell δεν είναι συνδεδεμένο με ένα συγκεκριμένο πλαίσιο. μάλλον, προέρχεται από μια δομική αδυναμία στο χαρακτηριστικό RSC που επηρεάζει το ευρύτερο οικοσύστημα React.
Αυτό το άρθρο εξετάζει την τεχνική βάση του React2Shell, το τοπίο έκθεσης των υπηρεσιών που χρησιμοποιούν RSC, την παρατηρούμενη δραστηριότητα εισβολέα και τις αμυντικές στρατηγικές που πρέπει να υιοθετήσουν οι οργανισμοί.
Επισκόπηση ευπάθειας React2Shell: Ένα δομικό ελάττωμα που επιτρέπει το RCE χωρίς έλεγχο ταυτότητας
Το CVE-2025-55182 προκαλείται από ένα ελάττωμα επικύρωσης στη διαδικασία αποσειροποίησης του πρωτοκόλλου Flight, το οποίο χρησιμοποιούν τα React Server Components για την ανταλλαγή καταστάσεων μεταξύ διακομιστή και πελάτη.
Ένας εισβολέας μπορεί να επιτύχει RCE απλά στέλνοντας ένα κατασκευασμένο ωφέλιμο φορτίο στο τελικό σημείο των Λειτουργιών διακομιστή χωρίς έλεγχο ταυτότητας και επειδή ένα PoC είναι ήδη διαθέσιμο στο κοινό, η ευπάθεια είναι πολύ ευαίσθητη σε αυτοματοποιημένες επιθέσεις.
Ο αντίκτυπος επεκτείνεται σε όλες τις υπηρεσίες που χρησιμοποιούν RSC και επειδή πλαίσια όπως το Next.js, το React Router RSC, το Waku, το Vite RSC Plugin, το Parcel RSC Plugin και το RedwoodJS μοιράζονται την ίδια υποκείμενη δομή, το ευρύτερο οικοσύστημα React εκτίθεται συλλογικά.
Η επίσημη ενημερωμένη έκδοση κώδικα είναι διαθέσιμη σε πακέτα react-server-dom-*, έκδοση 19.0.1 / 19.1.2 / 19.2.1 ή μεταγενέστερη και η ευπάθεια έχει βαθμολογία CVSS 10.0, υποδεικνύοντας κρίσιμη σοβαρότητα.
Ανάλυση έκθεσης περιουσιακών στοιχείων που επηρεάζονται από το React2Shell με χρήση εγκληματικής IP
Το React2Shell είναι δύσκολο να εντοπιστεί χρησιμοποιώντας μόνο παραδοσιακά banner προϊόντων ή περιεχόμενο HTML.
Οι υπηρεσίες που βασίζονται σε React έχουν σχεδιαστεί έτσι ώστε τα στοιχεία RSC να μην εκτίθενται εξωτερικά και πλαίσια όπως το Next.js, τα οποία προμηθεύει τις μονάδες React εσωτερικά, καθιστούν ακόμη πιο δύσκολο τον εντοπισμό της υποκείμενης στοίβας τεχνολογίας.
Ως αποτέλεσμα, οι απλές μέθοδοι ανίχνευσης που βασίζονται σε banner δεν μπορούν να προσδιορίσουν αξιόπιστα εάν το RSC είναι ενεργοποιημένο ή εάν μια υπηρεσία εκτίθεται σε αυτήν την ευπάθεια.
Σε περιβάλλοντα πραγματικού κόσμου, η πιο αξιόπιστη μέθοδος ανίχνευσης είναι η αναγνώριση συστημάτων με βάση τις κεφαλίδες απόκρισης HTTP και οι διακομιστές με ενεργοποιημένο το RSC εμφανίζουν με συνέπεια τις ακόλουθες τιμές.
Ερώτημα αναζήτησης εγκληματικής IP: “Διακύμανση: RSC, Next-Router-State-Tree”
Οι χρήστες μπορούν να ανιχνεύσουν διακομιστές με δυνατότητα RSC στις Ηνωμένες Πολιτείες χρησιμοποιώντας Ποινική IP, εφαρμόζοντας ερωτήματα που βασίζονται σε αυτά τα μοτίβα κεφαλίδων.
Ερώτημα αναζήτησης εγκληματικής IP: Χώρα “Διακύμανση: RSC, Next-Router-State-Tree”: “ΗΠΑ”
Σύμφωνα με τα αποτελέσματα της Αναζήτησης περιουσιακών στοιχείων Criminal IP, το ερώτημα Χώρα “Διακύμανση: RSC, Next-Router-State-Tree”: “ΗΠΑ” εντόπισε συνολικά 109.487 περιουσιακά στοιχεία με δυνατότητα RSC.
Αυτό το μοτίβο κεφαλίδας υποδεικνύει ότι το RSC είναι ενεργό σε αυτούς τους διακομιστές. Αν και δεν σημαίνει ότι όλα είναι ευάλωτα, είναι ένας κρίσιμος δείκτης της επιφάνειας έκθεσης μεγάλης κλίμακας που υπάρχει.
Κατά την εξέταση των αποτελεσμάτων ανάλυσης για ένα συγκεκριμένο στοιχείο στο Criminal IP, βρέθηκε ότι ο διακομιστής είχε τις θύρες 80 και 443 εκτεθειμένες εξωτερικά και οι κεφαλίδες απόκρισης, οι λεπτομέρειες του πιστοποιητικού SSL, η λίστα ευπάθειας και οι συσχετίσεις Exploit DB μπορούσαν να ελεγχθούν σε μια ενιαία σελίδα.
Σε αυτό το στοιχείο, οι δείκτες που σχετίζονται με το React2Shell εντοπίστηκαν μαζί με άλλα κρίσιμα τρωτά σημεία, συμπεριλαμβανομένου του CVE-2023-44487 (HTTP/2 Rapid Reset), το οποίο έχει χρησιμοποιηθεί ευρέως σε μεγάλης κλίμακας επιθέσεις DDoS.
Αυτό δείχνει πώς Αναζήτηση περιουσιακών στοιχείων για εγκληματικές IP παρέχει πολλαπλά επίπεδα ανάλυσης που βοηθούν στην αξιολόγηση του κατά πόσο ένα περιβάλλον είναι ρεαλιστικά εκμεταλλεύσιμο από τους εισβολείς.
Στρατηγικές Μετριασμού της Ασφάλειας
1. Άμεση ενημέρωση πακέτων που σχετίζονται με το React
Οι οργανισμοί θα πρέπει να ενημερώσουν αμέσως όλα τα πακέτα που σχετίζονται με το React στις πιο πρόσφατες επιδιορθωμένες εκδόσεις τους.
Το πακέτο react-server-dom-webpack πρέπει να αναβαθμιστεί στην έκδοση 19.0.1, 19.1.2 ή 19.2.1, ενώ το react-server-dom-parcel και το react-server-dom-turbopack θα πρέπει να ενημερωθούν στην έκδοση 19.0.1 ή μεταγενέστερη για να διασφαλιστεί ότι προστατεύονται από την ευπάθεια.
2. Επαληθεύστε τη διαθεσιμότητα ενημερωμένης έκδοσης κώδικα για κάθε πλαίσιο
Το React RSC χρησιμοποιείται σε πολλά πλαίσια, συμπεριλαμβανομένων των Next.js, Vite, Parcel και RedwoodJS. Συγκεκριμένα, οι προμηθευτές Next.js RSC εσωτερικά, πράγμα που σημαίνει ότι η ενημέρωση των πακέτων React από μόνη της ενδέχεται να μην εφαρμόσει αυτόματα την επιδιόρθωση.
Ως εκ τούτου, είναι σημαντικό να αναθεωρήσετε τις επίσημες συμβουλές ασφαλείας κάθε πλαισίου ή τις σημειώσεις έκδοσης και να κάνετε αναβάθμιση στην έκδοση στην οποία έχει αντιμετωπιστεί η ευπάθεια.
3. Ελαχιστοποιήστε την εξωτερική έκθεση των τελικών σημείων RSC
Όποτε είναι δυνατόν, περιορίστε την πρόσβαση χρησιμοποιώντας αντίστροφο διακομιστή μεσολάβησης, WAF ή πύλη ελέγχου ταυτότητας.
4. Μόχλευση εγκληματικής IP για παρακολούθηση
- Παρακολουθήστε την έκθεση της κεφαλίδας που σχετίζεται με το RSC
- Εντοπισμός προσπαθειών σάρωσης με βάση τα δακτυλικά αποτυπώματα TLS
- Αυτόματος αποκλεισμός κακόβουλων IP σάρωσης
- Ελέγξτε για παρουσία ευπάθειας και συσχετισμένες καταχωρήσεις Exploit DB
Η Ανάλυση’ Σύναψη
Το React2Shell (CVE-2025-55182) είναι μια κρίσιμη ευπάθεια που επηρεάζει τις πιο ευρέως χρησιμοποιούμενες υπηρεσίες που βασίζονται σε React σε όλο το οικοσύστημα Ιστού. Με χαμηλή πολυπλοκότητα εκμετάλλευσης και δημόσια διαθέσιμα PoC, οι ενεργές επιθέσεις εξαπλώνονται γρήγορα.
Σύμφωνα με την ανάλυση Criminal IP, περίπου 110.000 υπηρεσίες με δυνατότητα RSC στις Ηνωμένες Πολιτείες εκτίθενται, υπογραμμίζοντας τον σημαντικό κίνδυνο ευρείας εκμετάλλευσης.
Εκτός από την εφαρμογή ενημερώσεων κώδικα, ο εντοπισμός εκτεθειμένων υπηρεσιών RSC και η παρακολούθηση σε πραγματικό χρόνο αποτελούν βασικά στοιχεία μιας αποτελεσματικής στρατηγικής απόκρισης React2Shell.
Το Criminal IP παρέχει ένα από τα πιο αποτελεσματικά εργαλεία για την ακριβή χαρτογράφηση αυτής της επιφάνειας επίθεσης και την ενίσχυση των αμυντικών μέτρων.
Σε σχέση με αυτό, οι χρήστες μπορούν να ανατρέξουν σε Η ευπάθεια στο Middleware Next.js επιτρέπει την παράκαμψη ελέγχου ταυτότητας: Πάνω από 520.000 στοιχεία σε κίνδυνο.
Σχετικά με το Criminal IP
Ποινική ΔΙ είναι η ναυαρχίδα πλατφόρμα πληροφοριών κυβερνοαπειλής που αναπτύχθηκε από την AI SPERA. Η πλατφόρμα χρησιμοποιείται σε περισσότερες από 150 χώρες και παρέχει ολοκληρωμένη ορατότητα απειλών μέσω λύσεων εταιρικής ασφάλειας, όπως το Criminal IP ASM και το Criminal IP FDS.
Η Criminal IP συνεχίζει να ενισχύει το παγκόσμιο οικοσύστημά της μέσω στρατηγικών συνεργασιών με τις Cisco, VirusTotal και Quad9.
Τα δεδομένα απειλών της πλατφόρμας είναι επίσης διαθέσιμα μέσω μεγάλων αγορών αποθήκης δεδομένων στις ΗΠΑ, συμπεριλαμβανομένων των υπηρεσιών Web Amazon (AWS), Microsoft Azure και Snowflake. Αυτή η επέκταση βελτιώνει την παγκόσμια πρόσβαση σε υψηλής ποιότητας πληροφορίες απειλών από το Criminal IP.
Επαφή
Μάικλ Σένα
AI SPERA
.webp?w=1600&resize=1600,900&ssl=1){kind=link}