Uma falha de segurança altamente crítica identificada como CVE-2025-55182, e apelidada de React2Shell, está colocando em risco milhares de servidores que utilizam React Server Components, uma tecnologia popular para aplicações web modernas. A vulnerabilidade permite que atacantes executem código remotamente sem autenticação, o que pode levar ao comprometimento total do sistema afetado.
A falha afeta diretamente o protocolo React Flight, usado para transmitir componentes entre o navegador e o servidor. O problema está no processo de desserialização de dados, que pode ser manipulado com um único pedido HTTP malicioso para disparar comandos diretamente no servidor vulnerável. Com pontuação CVSS 10, o nível máximo de gravidade, essa falha já é considerada uma das mais perigosas no ecossistema do React e do Node.js. Pesquisadores de cibersegurança confirmaram que códigos de exploração já estão circulando ativamente, inclusive em fóruns clandestinos, o que aumenta o risco de ataques em larga escala.
A vulnerabilidade afeta versões do React Server Components entre 19.0.0 e 19.2.0, além de impactar aplicações construídas com Next.js, especialmente aquelas que utilizam o novo App Router, que depende diretamente dos componentes vulneráveis. Diversas empresas e órgãos, como AWS, Microsoft, Google Cloud e CISA, já emitiram alertas sobre a falha, confirmando que ela está sendo ativamente explorada por grupos cibercriminosos, incluindo atores patrocinados por Estados.
Os ataques visam implantar backdoors, malwares persistentes e comprometer infraestruturas inteiras. O patch de correção foi liberado no início de dezembro de 2025, e as versões corrigidas já estão disponíveis para atualização. Equipes de desenvolvimento e infraestrutura devem agir imediatamente para atualizar suas dependências e garantir que os servidores estejam protegidos.
