Alerta Máximo: Falha Crítica ‘React2shell’ em React e Next.js Permite Execução Remota de Código
Quantum News 
Vulnerabilidade CVE-2025-55182 Atinge Pontuação Máxima de Gravidade
Uma descoberta alarmante abalou a comunidade de desenvolvimento web nesta semana. Pesquisadores de segurança divulgaram uma falha crítica nos React Server Components (RSC), apelidada de React2shell. A vulnerabilidade, rastreada oficialmente como CVE-2025-55182, recebeu a pontuação máxima de gravidade (CVSS 10.0), indicando um risco iminente e devastador para aplicações não corrigidas.
O Que é o React2shell?
O problema reside na maneira como o React decodifica cargas de dados (payloads) enviadas para os endpoints das React Server Functions. A falha permite que atacantes executem código arbitrário remotamente (RCE) nos servidores alvo sem a necessidade de qualquer autenticação prévia. Segundo o alerta emitido pela equipe do React e reportado pelo The Hacker News, a exploração dessa brecha concede controle total sobre o ambiente do servidor afetado.
Sistemas Afetados e Impacto
A vulnerabilidade não se restringe apenas a aplicações que utilizam explicitamente endpoints de função do servidor. O risco se estende a:
- Aplicações construídas com Next.js (especificamente aquelas usando o App Router).
- Bibliotecas que empacotam componentes RSC.
- Qualquer implementação que suporte React Server Components, mesmo que não implemente funções de servidor diretamente.
Devido à natureza da falha, a exploração pode ocorrer de forma automatizada, tornando-se um alvo atraente para botnets e cibercriminosos que buscam comprometer infraestruturas em larga escala.
Medidas de Mitigação
A correção imediata é imperativa. Desenvolvedores e engenheiros de DevOps devem atualizar suas dependências do React e Next.js para as versões mais recentes disponibilizadas, que contêm os patches de segurança necessários. Recomenda-se também uma auditoria nos logs do servidor em busca de atividades suspeitas ou cargas de dados anômalas que possam indicar tentativas de exploração anteriores à correção.
