Critical React2Shell flaw actively exploited in China-linked attacks

Exploitation rapide d’une faille critique dans React et Next.js

Une vulnérabilité de sérialisation non sécurisée, baptisée React2Shell, affectant les bibliothèques React et Next.js, fait l’objet d’une exploitation active. Découverte récemment, cette faille de gravité maximale permet l’exécution de code JavaScript à distance côté serveur, sans nécessiter d’authentification.

Points clés :

• Vulnérabilité: React2Shell, une faille de désérialisation non sécurisée dans le protocole ‘Flight’ des React Server Components (RSC).
• Impact: Permet l’exécution de code JavaScript côté serveur sans authentification.
• Exploitation: Facilement exploitable, avec des preuves de concept (PoC) déjà disponibles, augmentant le risque.
• Portée: Affecte plusieurs versions de React et Next.js, potentiellement des milliers de projets dépendants. 39% des environnements cloud observés par Wiz seraient vulnérables.
• Activité: Des acteurs malveillants liés à la Chine, notamment Earth Lamia et Jackpot Panda, ont commencé à exploiter la faille immédiatement après sa divulgation. D’autres activités non attribuées mais provenant d’infrastructures chinoises ont également été détectées.
• Techniques des attaquants: Utilisation de PoC publics, de tests manuels itératifs, exécution de commandes Linux, tentatives de création de fichiers et lecture du fichier /etc/passwd.

Vulnérabilités :

• CVE-2025-55182: Identifiant principal pour React2Shell.
• CVE-2025-66478: Identifiant pour Next.js, considéré comme un doublon de CVE-2025-55182.

Recommandations :

• Les développeurs de React et Next.js ont publié des mises à jour de sécurité. Il est crucial d’appliquer ces correctifs.
• Utiliser des outils d’analyse comme le scanner React2Shell disponible sur GitHub (Assetnote) pour évaluer la susceptibilité des environnements.

Source