React2Shell flaw (CVE-2025-55182) exploited for remote code execution

1 minute de lecture

Mis à jour : December 11, 2025

Alerte : Exploitation active de la vulnérabilité React2Shell

Une faille critique, nommée “React2Shell” et identifiée sous la référence CVE-2025-55182, est actuellement largement exploitée. Cette vulnérabilité affecte les versions 19.0.0 à 19.2.0 de React Server Components et est qualifiée de critique avec un score CVSS de 10.0.

Points Clés

Nature de la vulnérabilité : Elle découle d’un traitement non sécurisé des données reçues du navigateur d’un utilisateur par les React Server Components. Le problème réside dans la désérialisation des données, où une validation insuffisante permet à des requêtes spécialement conçues d’interférer avec l’exécution du code côté serveur.
Impact : Les attaquants peuvent exécuter du code JavaScript arbitraire avec les privilèges de l’application, permettant ainsi l’accès à des données sensibles, la modification du comportement des applications, voire la compromission totale de l’environnement serveur. L’exploitation ne nécessite ni authentification ni identifiants, seulement un accès réseau à un point d’extrémité vulnérable. Plus de 165 000 adresses IP et 644 000 domaines étaient identifiés comme vulnérables début décembre.
Activités post-exploitation observées : Les attaquants déploient rapidement des chargeurs sous Linux, établissent de la persistance via systemd, cron et rc.local, installent Node.js et du JavaScript obfusqué dans des répertoires cachés, utilisent des infrastructures cloud publiques et des serveurs de commande et de contrôle (C2). Des exfiltrations de données simples et des balises de télémétrie sont également observées. Sur Windows, des commandes PowerShell suspectes ont été exécutées, et sur Linux, des commandes utilisant /bin/sh et curl ont été détectées, souvent suivies de tentatives de nettoyage des traces.

Vulnérabilités

CVE-2025-55182 : React2Shell - Affecte les versions 19.0.0, 19.1.0, 19.1.1, et 19.2.0 de React Server Components.

Recommandations

Il est fortement recommandé aux organisations utilisant des infrastructures React exposées sur Internet de prioriser la mise à jour et le correctif de CVE-2025-55182 dans leurs environnements.

SophosLabs a développé des détections pour cette menace, notamment sous Linux avec les signatures : Linux/DldrYI, Linux/AgntGA, Linux/AgntFZ, Linux/AgntGB, Linux/AgntGC, et Linux/DldrYG. Des indicateurs de menace spécifiques, tels que des noms de fichiers (gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh, tsd.sh, init.sh, b.sh) et des sommes de contrôle (MD5, SHA1, SHA256), sont disponibles pour aider à la détection de cette activité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

React2Shell flaw (CVE-2025-55182) exploited for remote code execution

Alerte : Exploitation active de la vulnérabilité React2Shell

Points Clés

Vulnérabilités

Recommandations

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast