CISA dodaje krytyczną lukę „React2Shell” (CVE-2025-55182) do katalogu KEV — co to oznacza dla zespołów bezpieczeństwa

Wprowadzenie do problemu / definicja luki

CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) jedną nową, aktywnie wykorzystywaną podatność: CVE-2025-55182, znaną jako „React2Shell”. To nieuwierzytelniona RCE (remote code execution) w mechanizmie React Server Components (RSC), oceniona na CVSS 10.0. Dla agencji FCEB wyznaczono termin remediacji na 26 grudnia 2025 r. zgodnie z BOD 22-01.

W skrócie

• Rodzaj luki: pre-auth RCE w protokole „Flight” dla RSC.
• Dotyczy: ekosystemu React 19 i pakietów react-server-dom- (webpack/parcel/turbopack)* w określonych wersjach.
• Skutki: zdalne wykonanie dowolnego kodu na serwerze przy użyciu spreparowanych żądań HTTP.
• Status: CISA włączyła do KEV (aktywnie wykorzystywana), termin remediacji do 26.12.2025.
• Łatki: dostępne aktualizacje dla pakietów RSC oraz wskazane wersje naprawcze w popularnych frameworkach (np. Next.js).

Kontekst / historia / powiązania

Zespół React ujawnił błąd 3 grudnia 2025 r. wraz z poradnikiem aktualizacji. niedługo potem liczne firmy i zespoły badawcze potwierdziły powagę podatności, a CISA dodała ją do KEV jako aktywnie wykorzystywaną w kampaniach wymierzonych w aplikacje używające RSC.

Analiza techniczna / szczegóły luki

Podstawą problemu jest niebezpieczna deserializacja ładunków przy obsłudze Server Function endpoints w RSC. Podatność występuje (co najmniej) w wersjach 19.0.0, 19.1.0, 19.1.1, 19.2.0 pakietów:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack
  W efekcie nieuwierzytelnowany napastnik może dostarczyć specjalnie spreparowany payload i doprowadzić do wykonania własnego kodu po stronie serwera.

Wersje naprawcze i wpływ na frameworki

Dostępne są wydania naprawcze pakietów RSC (linie 19.0.1 / 19.1.2 / 19.2.1). Dodatkowo vendorzy frameworków z ekosystemu React publikują swoje aktualizacje i wskazówki — np. Next.js. Zestawienie wersji naprawczych i zaleceń znajdziesz w przeglądzie przygotowanym przez Tenable.

Praktyczne konsekwencje / ryzyko

• Przejęcie serwera aplikacyjnego: wykonanie dowolnego kodu z uprawnieniami procesu serwera.
• Ruch bez logowania użytkownika: atak nie wymaga uwierzytelnienia, co zwiększa powierzchnię ataku.
• Łańcuchy ataków: RCE na warstwie aplikacji może służyć do instalacji web-shelli, pivotów do sieci wewnętrznej i eksfiltracji danych.
• Presja czasu: wpis do KEV oznacza aktywną eksploatację i wymusza szybkie działania operacyjne (termin CISA dla FCEB: 26.12.2025).

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowe aktualizacje:
   • Zaktualizuj pakiety RSC do wersji naprawczych (19.0.1 / 19.1.2 / 19.2.1).
   • Zastosuj najnowsze wersje frameworków (np. Next.js) zgodnie z matrycą wersji naprawczych.
2. Szybka weryfikacja ekspozycji:
   • Zidentyfikuj aplikacje używające React Server Components (w tym środowiska test/stage).
   • Przeglądnij reguły WAF i IDS/IPS pod kątem wzorców dla „React2Shell”; pamiętaj, iż WAF nie zastąpi patcha.
3. Higiena i monitoring:
   • Przejrzyj logi HTTP, wykryj nietypowe żądania do endpointów Server Functions.
   • Poszukaj artefaktów post-exploitation (web-shelle, nowe procesy, outbound C2).
4. Tymczasowe ograniczenia ryzyka (jeśli patch ASAP niemożliwy):
   • Ogranicz lub wyłącz endpointy Server Functions / RSC w narażonych aplikacjach.
   • Zastosuj segmentację sieciową i ograniczenia egress.
5. Zgodność z KEV/BOD 22-01 (agencje FCEB): zaplanuj remediację do 26.12.2025 i raportuj status zgodnie z procedurami.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od wielu błędów XSS/RCE w warstwie klienckiej, CVE-2025-55182 atakuje serwerową część stosu React (RSC/Flight), dzięki czemu omija typowe bariery jak CSRF czy autoryzacja użytkownika — to zwiększa prawdopodobieństwo pełnego przejęcia serwera. Wpis do KEV oraz raporty branżowe wskazują na prawdziwe nadużycia „in the wild”, a nie tylko teoretyczny wektor.

Podsumowanie / najważniejsze wnioski

• „React2Shell” (CVE-2025-55182) to krytyczna, aktywnie wykorzystywana pre-auth RCE w RSC.
• Patchuj natychmiast: zaktualizuj pakiety RSC i frameworki; WAF traktuj jedynie jako wsparcie.
• CISA KEV + BOD 22-01 wyznaczają twardy termin (dla FCEB: 26.12.2025), co powinno stać się również benchmarkiem dla prywatnych organizacji.

Źródła / bibliografia

• React Team — „Critical Security Vulnerability in React Server Components” (pakiety i wektor RCE). (React)
• NVD: CVE-2025-55182 — opis i zakres wersji. (NVD)
• Tenable: przegląd techniczny + wersje naprawcze RSC/Next.js. (Rapid7)
• CyberScoop: potwierdzenie dodania do CISA KEV i kontekst operacyjny. (CyberScoop)
• CISA KEV Catalog: wpis i termin remediacji: 26.12.2025; BOD 22-01. (CISA)