Китайски хакери вече експлоатират критичната уязвимост React2Shell

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

React2Shell (CVE-2025-55182) – нова критична уязвимост в сървърната страна на React – бе разкрита публично едва преди ден, но атаките срещу облачни среди вече са факт. Според AWS зад първите експлойт опити стоят китайски държавно свързани групировки, включително Earth Lamia и Jackpot Panda, известни със систематичните си атаки срещу уеб инфраструктура.

Открита на 29 ноември от изследователя Лаклан Дейвидсън и коригирана на 3 декември, уязвимостта получи максимален CVSS рейтинг – 10, което подчертава изключителната ѝ критичност.

Какво представлява React2Shell?

Уязвимостта засяга сървърната част на React, включително проекти, изградени върху Next.js, Waku и други производни рамки. Проблемът позволява на атакуващи да изпълняват привилегирован произволен код върху засегнати сървъри – без нужда от автентикация, без изискване за познания за конкретната конфигурация и без ограничение от страна на приложния слой.

Според данни на Wiz почти 40% от облачните среди използват React или Next.js компоненти, което превръща CVE-2025-55182 в една от най-широкообхватните уязвимости за годината.

След като Дейвидсън публикува своите Proof-of-Concept експлойти на 5 декември, рискът допълнително ескалира, тъй като това позволи на по-слабо подготвените групи да възпроизведат атаките.

Бърза реакция от индустрията – и още по-бърза реакция от атакуващите

Преди публичното разкриване на уязвимостта е имало координиран отговор между Vercel, AWS, Microsoft и Cloudflare, целящ предварително да защити инфраструктурата на облачните клиенти.

Въпреки това само часове след публичното съобщение AWS регистрира активни опити за експлойт:

  • използване на автоматизирани скенери

  • ръчно модифицирани PoC експлойти

  • фалшиви PoC файлове, създадени от самите атакуващи в опит да заблудят конкуренти

Особено тревожно е, че групите дебъгват експлойтите си в реално време върху живи цели, което показва висока мотивация и сериозна техническа готовност.

Кои заплахи стоят зад атаките?

Earth Lamia

  • Китайско държавно свързано звено

  • Специализира в експлоатация на уязвимости в уеб приложения

  • Известно с широкото използване на анонимизираща инфраструктура

Jackpot Panda

  • Насочена основно към онлайн хазартния сектор в Югоизточна Азия

  • Използва собствени инструменти за автоматизирани масови атаки

AWS подчертава, че заради общата инфраструктура за проксиране е трудно да се установи 100% точна атрибуция, но моделът на активност съвпада с тези две групи.

Какво трябва да направят компаниите?

Незабавната препоръка е следната:

Актуализирайте React от версиите 19.0, 19.1.0, 19.1.1 и 19.2.0 до последния коригиран билд.

Засегнати са и всички рамки, които използват React на сървърната страна, включително:

  • Next.js

  • Waku

  • React Router

  • други производни библиотеки

За средни и големи организации с многослойна архитектура е препоръчително да се извърши спешно:

  • пълна инвентаризация на уязвимите инстанции

  • проследяване на необичайни сървърни процеси

  • изолиране на подозрителни контейнери

  • прилагане на WAF правила срещу известно експлойт поведение

React2Shell поставя един от най-разпространените компоненти на съвременния уеб стек под сериозен натиск. С комбинация от широк обхват, максимална критичност и държавно подкрепени хакерски операции, уязвимостта представлява реална заплаха за бизнеса.

Навременната реакция – и незабавният ъпдейт – са ключови.

#CVE-2025-55182, # React уязвимост, # React2Shell, # китайски хакери, # облачна сигурност
e-security.bg

Подобни

Уязвимост в ISC BIND позволява дистанционен DoS
25.01.2026
container-ship-6631117_640
Проблем с последната версия на Outlook за iOS
24.01.2026
outlook_icon_closeup_3x_4x
Pwn2Own Automotive 2026 - над $1 млн. награди и 76 zero-day уязвимости
24.01.2026
Pwn2Own
Curl прекратява програмата си за награди поради flood от AI-slop
24.01.2026
pig-3566831_640
Критична уязвимост в SmarterMail
24.01.2026
vulnerable
Pwn2Own Automotive 2026 - Ден 2
23.01.2026
japan_tokyo

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.