Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

React2Shell CVE-2025-55182: удалённое выполнение кода в React-серверах

3 мин
3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, получившая название React2Shell. Уязвимость позволяет злоумышленникам добиваться выполнения кода на сервере через недостаточную проверку данных на стороне сервера — в частности с помощью специально сформированных HTTP POST‑запросов к хостам, обслуживающим веб‑приложения с использованием React. Причина уязвимости связана с оптимизациями, направленными на сокращение использования ресурсов: они непреднамеренно допускают выполнение команд без надлежащей валидации входных данных. В результате злоумышленник, не прошедший проверку подлинности, может добиться удаленного выполнения кода (Remote Code Execution) на уязвимом сервере. В зафиксированных случаях эксплуатации атакующие нацеливались на скомпрометированные серверы Windows под управлением IIS. Набор попыток выполнения включал запуск ряда Linux‑двoичных файлов — grep, sh, busybox, chmod, bash — а также выполнение shell‑скрипт
Оглавление

3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, получившая название React2Shell. Уязвимость позволяет злоумышленникам добиваться выполнения кода на сервере через недостаточную проверку данных на стороне сервера — в частности с помощью специально сформированных HTTP POST‑запросов к хостам, обслуживающим веб‑приложения с использованием React.

Суть уязвимости

Причина уязвимости связана с оптимизациями, направленными на сокращение использования ресурсов: они непреднамеренно допускают выполнение команд без надлежащей валидации входных данных. В результате злоумышленник, не прошедший проверку подлинности, может добиться удаленного выполнения кода (Remote Code Execution) на уязвимом сервере.

Наблюдаемая эксплуатация и поведение атакующих

В зафиксированных случаях эксплуатации атакующие нацеливались на скомпрометированные серверы Windows под управлением IIS. Набор попыток выполнения включал запуск ряда Linux‑двoичных файлов — grep, sh, busybox, chmod, bash — а также выполнение shell‑скриптов. Запуски не увенчались успехом именно потому, что эти бинарные файлы отсутствуют в среде Windows.

Поведение злоумышленников характерно для кампаний по криптоджекингу: фокус на массовом краже вычислительных ресурсов и упрощённые, неадаптивные тактики. По своей сложности атаки ближе к действиям менее опытных злоумышленников, а не к продвинутым APT‑группам или организованным синдикатам.

«React2Shell представляет значительный риск из‑за своей способности к удалённому выполнению кода злоумышленниками без аутентификации».

Рекомендации по защите

  • Немедленно применить доступные обновления и патчи для серверных компонентов React и сопутствующего программного обеспечения — оперативное исправление известных уязвимостей остаётся первоочередной мерой защиты.
  • Контроль приложений (application control): внедрить allowlisting, например с помощью ThreatLocker, чтобы разрешать запуск только явно одобренных приложений и блокировать выполнение неавторизованных бинарей.
  • Политики запрета для ПО высокого риска: создавать и поддерживать специфические запреты на исполнение нестандартных интерпретаторов и утилит, особенно тех, которые часто используются в вредоносных сценариях.
  • Кольцевая защита (ringfencing) для критически важных, но рискованных приложений: ограничивать их доступ к системным ресурсам и взаимодействие с другими компонентами, минимизируя потенциальный ущерб при компрометации.
  • Ограничение и валидация входящих запросов: проверять и фильтровать тело POST‑запросов, использовать WAF и строгую валидацию данных на сервере.
  • Мониторинг и EDR: внедрять средства обнаружения аномалий, логирование попыток выполнения нестандартных бинарей и оперативный анализ инцидентов.
  • Сегментация сети и принцип минимальных привилегий: снизить влияние возможной компрометации, ограничив доступ сервисов и учетных записей.
  • Инцидент‑респонс и threat hunting: организовать проактивный поиск следов эксплуатации (попытки запуска Linux‑бинарей на Windows, аномальные POST‑запросы, подозрительная сетьвая активность) и готовность к быстрому реагированию.

Заключение

React2Shell (CVE-2025-55182) — это пример уязвимости, эксплуатация которой может привести к серьезным последствиям из‑за возможности удалённого выполнения кода злоумышленниками без аутентификации. Несмотря на то, что зафиксированные кампании выглядят как массовые криптоджекинг‑атаки низкой изощрённости, риск остаётся высоким для организаций с незащищёнными серверами. Комплекс мер — от оперативного патчинга до контроля приложений и кольцевой защиты — необходим для снижения вероятности и последствий успешной эксплуатации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "React2Shell CVE-2025-55182: удалённое выполнение кода в React-серверах".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются