La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado agencias federales para parchear el reciente reaccionar2shell vulnerabilidad para el 12 de diciembre de 2025, en medio de informes de explotación generalizada.
La vulnerabilidad crítica, rastreada como CVE-2025-55182 (Puntuación CVSS: 10.0), afecta el protocolo de vuelo de componentes de servidor React (RSC). La causa subyacente del problema es una deserialización insegura que permite a un atacante inyectar lógica maliciosa que el servidor ejecuta en un contexto privilegiado. También afecta a otros marcos, incluidos Next.js, Waku, Vite, React Router y RedwoodSDK.
«Una única solicitud HTTP especialmente diseñada es suficiente; no hay requisitos de autenticación, interacción del usuario ni permisos elevados involucrados», Cloudforce One, el equipo de inteligencia de amenazas de Cloudflare, dicho. «Una vez exitoso, el atacante puede ejecutar JavaScript privilegiado y arbitrario en el servidor afectado».
Desde su divulgación pública el 3 de diciembre de 2025, la deficiencia ha sido explotado por múltiples actores de amenazas en varias campañas para participar en esfuerzos de reconocimiento y entregar una amplia gama de familias de malware.
el desarrollo incitado CISA lo agregará a su catálogo de vulnerabilidades explotadas conocidas el viernes pasado, dando a las agencias federales hasta el 26 de diciembre para aplicar las correcciones. Desde entonces el plazo ha sido revisado al 12 de diciembre de 2025, una indicación de la gravedad del incidente.
Empresa de seguridad en la nube Wiz dicho ha observado una «rápida ola de explotación oportunista» de la falla, con una gran mayoría de los ataques dirigidos a aplicaciones Next.js orientadas a Internet y otras cargas de trabajo en contenedores que se ejecutan en Kubernetes y servicios administrados en la nube.
 |
| Fuente de la imagen: Cloudflare |
Cloudflare, que también está rastreando la actividad de explotación en curso, dijo que los actores de amenazas han realizado búsquedas utilizando plataformas de descubrimiento de activos y escaneo en Internet para encontrar sistemas expuestos que ejecutan aplicaciones React y Next.js. En particular, algunos de los esfuerzos de reconocimiento han excluido de sus búsquedas los espacios de direcciones IP chinas.
«Su sondeo de mayor densidad se produjo contra redes en Taiwán, Xinjiang Uyghur, Vietnam, Japón y Nueva Zelanda, regiones frecuentemente asociadas con prioridades de recopilación de inteligencia geopolítica», dijo la empresa de infraestructura web.
También se dice que la actividad observada se dirigió, aunque de forma más selectiva, a sitios web gubernamentales (.gov), instituciones de investigación académica y operadores de infraestructura crítica. Esto incluía una autoridad nacional responsable de la importación y exportación de uranio, metales raros y combustible nuclear.
Algunos de los otros hallazgos notables se enumeran a continuación:
- Dar prioridad a objetivos tecnológicos de alta sensibilidad, como administradores de contraseñas empresariales y servicios de bóveda segura, probablemente con el objetivo de perpetrar ataques a la cadena de suministro.
- Dirigirse a dispositivos VPN SSL orientados al borde cuyas interfaces administrativas pueden incorporar componentes basados en React
- Los primeros intentos de escaneo y explotación se originaron en direcciones IP previamente asociadas con grupos de amenazas afiliados a Asia.
En su propio análisis de los datos del honeypot, Kaspersky dicho registró más de 35.000 intentos de explotación en un solo día el 10 de diciembre de 2025, y los atacantes primero probaron el sistema ejecutando comandos como whoami, antes de eliminar mineros de criptomonedas o familias de malware de botnets como las variantes Mirai/Gafgyt y RondoDox.
Algunos de los otros cargas útiles observadas incluyen balizas Cobalt Strike, Sliver, Fast Reverse Proxy (FRP), una herramienta de monitoreo llamada Nezhauna carga útil de Node.js que recopila archivos confidenciales y convierte a TruffleHog y Gitleaks en armas para recopilar secretos, y una puerta trasera basada en Go con capacidades de shell inverso, reconocimiento y comando y control (C2).
Paralelamente, se estima que React2Shell ha producido más de 140 exploits de prueba de concepto de diversa calidad, de los cuales aproximadamente la mitad están rotos, son engañosos o inutilizables de algún otro modo. VulnCheck. Los repositorios de exploits restantes contienen lógica para cargar shells web en memoria como Godzilla, escanear en busca del defectoe incluso implementar un firewall de aplicaciones web (WAF) liviano para bloquear cargas útiles maliciosas.
El investigador de seguridad Rakesh Krishnan también ha descubierto un directorio abierto alojado en «154.61.77[.]105:8082» que incluye un script de explotación de prueba de concepto (PoC) para CVE-2025–55182 junto con otros dos archivos:
- «dominios.txt», que contiene una lista de 35.423 dominios
- «next_target.txt», que contiene una lista de 596 URL, incluidas empresas como Dia Browser, Starbucks, Porsche y Lululemon.
Se ha evaluado que el actor de amenazas no identificado está escaneando activamente Internet en función de los objetivos agregados al segundo archivo, infectando cientos de páginas en el proceso.
La Coalición de empresas de ciberseguridad y seguros cibernéticos ha comparado React2Shell a la vulnerabilidad Log4Shell 2021 (CVE-2021-44228), describiéndolo como un «evento sistémico de agregación de riesgos cibernéticos».
Según los últimos datos de The Shadowserver Foundation, hay más de 137.200 direcciones IP expuestas a Internet ejecutando código vulnerable a partir del 11 de diciembre de 2025. De estos, más 88.900 casos están ubicados en Estados Unidos, seguidos de Alemania (10.900), Francia (5.500) e India (3.600).
Fuente