Next.js и React2Shell уязвимостта се експлоатира масово

Picture of e-security.bg
e-security.bg
Уязвимости

Хакери компрометират десетки хиляди сървъри, използвайки популярни React фреймуърци за криптодобив и отдалечено изпълнение на код

Масово проникване и ботнет активност

Според изследователи по киберсигурност стотици вече компрометирани устройства с Next.js са засечени в honeypots, докато десетки хиляди сървъри остават уязвими към критичната React уязвимост CVE-2025-55182, известна като React2Shell.

Едуардо Боргес, дигитален предприемач, сподели как собствената му машина е била превзета:


„Сървърът ми вече не обслужваше приложението ми – вместо това копаеше криптовалута за някой друг!“

Според Боргес, зловредният софтуер е действал в рамките на Next.js контейнера, маскирайки се като nginx и Apache, за да изглежда като легитимен уеб сървър. Той проследил Monero адреса на атакуващите и открил 415 други „зомбита“ в ботнета, генериращи приблизително $4.26 на първия ден.

ShadowServer и нарастващи атаки

Фондацията ShadowServer отчита рязък скок на атаките: от обичайни около 100 IP-та до почти 1,000 активни IP-та миналия петък.

Пиотр Кижевски, CEO на ShadowServer:


„Наблюдаваме масови опити за експлоатиране на React CVE-2025-55182, включително чрез ботнетове.“

Киберновини съобщават, че китайски хакери вече са експлоатирали тази уязвимост, която засяга React Server Components (RCS) и позволява отдалечено изпълнение на код без автентикация.

Next.js – най-активната цел

Next.js е един от най-популярните React фреймуърци. В момента ботнетите, използващи Next.js, са най-активните атакуващи устройства, засечени от ShadowServer.

През уикенда броят на компрометираните сървъри намалява, вероятно защото администраторите са приложили актуализации и мерки за защита.

Към 7 декември са открити почти 29,000 публично достъпни IP-та, уязвими към React2Shell, спрямо 77,600 на 5 декември.

Експертна оценка: критична уязвимост

Кристоф Хартман, CTO и съосновател на Mondoo, предупреждава:


„Тази RCS уязвимост е изключително опасна – позволява изпълнение на код без автентикация, без нужда от потребителски имена, пароли или специални права.“

Тъй като React и Next.js захранват милиони уебсайтове и SaaS платформи, а уязвимостта засяга дефолтни конфигурации, площта на атака е огромна. Хартман допълва:


„Експлоатацията е тривиална, което прави тези CVE-та сред най-сериозните уязвимости на уеб фреймуърците в последните години.“

#Next.js, # React2Shell, # ботнет, # киберсигурност, # уязвимости
По материали от Интернет

Подобни

Уязвимост в ISC BIND позволява дистанционен DoS
25.01.2026
container-ship-6631117_640
Проблем с последната версия на Outlook за iOS
24.01.2026
outlook_icon_closeup_3x_4x
Pwn2Own Automotive 2026 - над $1 млн. награди и 76 zero-day уязвимости
24.01.2026
Pwn2Own
Curl прекратява програмата си за награди поради flood от AI-slop
24.01.2026
pig-3566831_640
Критична уязвимост в SmarterMail
24.01.2026
vulnerable
Pwn2Own Automotive 2026 - Ден 2
23.01.2026
japan_tokyo

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.