В Shadowserver обнаружили 77 664 IP-адресов с React Server Components, уязвимых к атаке React2Shell (CVE-2025-55182)

Группа интернет‑контроля Shadowserver сообщила об обнаружении 77 664 IP‑адресов с серверными компонентами веб‑фреймворка React (RSC, React Server Components), уязвимыми к атаке React2Shell (CVE-2025-55182), из которых около 23 700 адресов находятся в США, а около 3 тыс. в России.

Ранее в серверных компонентах RSC была обнаружена и устранена критическая уязвимость CVE-2025-55182, позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимость проявляется в экспериментальных компонентах react‑server‑dom‑webpack, react‑server‑dom‑parcel и react‑server‑dom‑turbopack, применяемых для выполнения функций и формирования элементов интерфейса на сервере, а не на стороне клиента.

Уязвимость CVE-2025-55182 присутствует в версиях React 19.0.0, 19.1.0, 19.1.1 и 19.2.0. Проблема устранена в обновлениях React 19.0.1, 19.1.2 и 19.2.1. Уязвимые компоненты также применяются в пакетах react‑router (20 млн загрузок в неделю), waku, @parcel/rsc (Parcel RSC plugin), @vitejs/plugin‑rsc (Vite RSC plugin) и rwsdk (RedwoodSDK). В React Router проблема проявляется только при использовании экспериментального режима RSC.

Исследователи определили уязвимые системы с IP‑адресами с помощью метода обнаружения, разработанного Searchlight Cyber/Assetnote. Для эксплуатации уязвимости на серверы отправлялся HTTP‑запрос, а для подтверждения уязвимости устройства проверялся конкретный ответ.

Специалисты GreyNoise также зафиксировали 181 отдельный IP‑адрес, пытавшийся эксплуатировать уязвимость за последние 24 часа, при этом большая часть трафика, по‑видимому, была автоматизированной. Исследователи отмечают, что сканирование в основном осуществляется из Нидерландов, Китая, США, Гонконга и небольшого числа других