Китайски хакери вече експлоатират критичната уязвимост React2Shell

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

React2Shell (CVE-2025-55182) – нова критична уязвимост в сървърната страна на React – бе разкрита публично едва преди ден, но атаките срещу облачни среди вече са факт. Според AWS зад първите експлойт опити стоят китайски държавно свързани групировки, включително Earth Lamia и Jackpot Panda, известни със систематичните си атаки срещу уеб инфраструктура.

Открита на 29 ноември от изследователя Лаклан Дейвидсън и коригирана на 3 декември, уязвимостта получи максимален CVSS рейтинг – 10, което подчертава изключителната ѝ критичност.

Какво представлява React2Shell?

Уязвимостта засяга сървърната част на React, включително проекти, изградени върху Next.js, Waku и други производни рамки. Проблемът позволява на атакуващи да изпълняват привилегирован произволен код върху засегнати сървъри – без нужда от автентикация, без изискване за познания за конкретната конфигурация и без ограничение от страна на приложния слой.

Според данни на Wiz почти 40% от облачните среди използват React или Next.js компоненти, което превръща CVE-2025-55182 в една от най-широкообхватните уязвимости за годината.

След като Дейвидсън публикува своите Proof-of-Concept експлойти на 5 декември, рискът допълнително ескалира, тъй като това позволи на по-слабо подготвените групи да възпроизведат атаките.

Бърза реакция от индустрията – и още по-бърза реакция от атакуващите

Преди публичното разкриване на уязвимостта е имало координиран отговор между Vercel, AWS, Microsoft и Cloudflare, целящ предварително да защити инфраструктурата на облачните клиенти.

Въпреки това само часове след публичното съобщение AWS регистрира активни опити за експлойт:

  • използване на автоматизирани скенери

  • ръчно модифицирани PoC експлойти

  • фалшиви PoC файлове, създадени от самите атакуващи в опит да заблудят конкуренти

Особено тревожно е, че групите дебъгват експлойтите си в реално време върху живи цели, което показва висока мотивация и сериозна техническа готовност.

Кои заплахи стоят зад атаките?

Earth Lamia

  • Китайско държавно свързано звено

  • Специализира в експлоатация на уязвимости в уеб приложения

  • Известно с широкото използване на анонимизираща инфраструктура

Jackpot Panda

  • Насочена основно към онлайн хазартния сектор в Югоизточна Азия

  • Използва собствени инструменти за автоматизирани масови атаки

AWS подчертава, че заради общата инфраструктура за проксиране е трудно да се установи 100% точна атрибуция, но моделът на активност съвпада с тези две групи.

Какво трябва да направят компаниите?

Незабавната препоръка е следната:

Актуализирайте React от версиите 19.0, 19.1.0, 19.1.1 и 19.2.0 до последния коригиран билд.

Засегнати са и всички рамки, които използват React на сървърната страна, включително:

  • Next.js

  • Waku

  • React Router

  • други производни библиотеки

За средни и големи организации с многослойна архитектура е препоръчително да се извърши спешно:

  • пълна инвентаризация на уязвимите инстанции

  • проследяване на необичайни сървърни процеси

  • изолиране на подозрителни контейнери

  • прилагане на WAF правила срещу известно експлойт поведение

React2Shell поставя един от най-разпространените компоненти на съвременния уеб стек под сериозен натиск. С комбинация от широк обхват, максимална критичност и държавно подкрепени хакерски операции, уязвимостта представлява реална заплаха за бизнеса.

Навременната реакция – и незабавният ъпдейт – са ключови.

#CVE-2025-55182, # React уязвимост, # React2Shell, # китайски хакери, # облачна сигурност
e-security.bg

Подобни

Критична уязвимост в wolfSSL засяга милиарди устройства
14.04.2026
ai-generated-8424647_640
„Time-to-Exploit“ вече е отрицателно
14.04.2026
0day
Уязвимост в софтуерната верига - OpenAI предприема спешни мерки за защита на macOS
13.04.2026
OpenAI-GPT-4
Критична уязвимост в Marimo
12.04.2026
thankyoufantasypictures-ai-generated-8705387_640
Кризa в екосистемата на Windows
10.04.2026
windows-6281710_1280
Критична RCE уязвимост в Apache ActiveMQ остава скрита 13 години
9.04.2026
claude anthropic

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.