La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias federales a parchear la reciente reaccionar2shell vulnerabilidad para el 12 de diciembre de 2025, en medio de informes de explotación generalizada.
La vulnerabilidad crítica, rastreada como CVE-2025-55182 (puntuación CVSS: 10.0), afecta el protocolo de vuelo de componentes de servidor React (RSC). La causa subyacente del problema es una deserialización insegura que permite a un atacante inyectar lógica maliciosa que el servidor ejecuta en un contexto privilegiado. También afecta a otros marcos, incluidos Next.js, Waku, Vite, React Router y RedwoodSDK.
«Una única solicitud HTTP especialmente diseñada es suficiente; no hay requisitos de autenticación, interacción del usuario ni permisos elevados involucrados», dijo Cloudforce One, el equipo de inteligencia de amenazas de Cloudflare. «Una vez exitoso, el atacante puede ejecutar JavaScript privilegiado y arbitrario en el servidor afectado».
Desde su divulgación pública el 3 de diciembre de 2025, la deficiencia ha sido explotada por múltiples actores de amenazas en diversas campañas para participar en esfuerzos de reconocimiento y entregar una amplia gama de familias de malware.
El desarrollo llevó a CISA a agregarlo a su catálogo de vulnerabilidades explotadas conocidas el viernes pasado, dando a las agencias federales hasta el 26 de diciembre para aplicar las correcciones. Desde entonces, la fecha límite se revisó hasta el 12 de diciembre de 2025, una indicación de la gravedad del incidente.
La empresa de seguridad en la nube Wiz dijo que ha observado una «rápida ola de explotación oportunista» de la falla, con una gran mayoría de los ataques dirigidos a aplicaciones Next.js orientadas a Internet y otras cargas de trabajo en contenedores que se ejecutan en Kubernetes y servicios administrados en la nube.
 |
| Fuente de la imagen: Cloudflare |
Cloudflare, que también está rastreando la actividad de explotación en curso, dijo que los actores de amenazas han realizado búsquedas utilizando plataformas de descubrimiento de activos y escaneo en Internet para encontrar sistemas expuestos que ejecutan aplicaciones React y Next.js. En particular, algunos de los esfuerzos de reconocimiento han excluido de sus búsquedas los espacios de direcciones IP chinas.
«Su sondeo de mayor densidad se produjo contra redes en Taiwán, Xinjiang Uyghur, Vietnam, Japón y Nueva Zelanda, regiones frecuentemente asociadas con prioridades de recopilación de inteligencia geopolítica», dijo la empresa de infraestructura web.
También se dice que la actividad observada se dirigió, aunque de forma más selectiva, a sitios web gubernamentales (.gov), instituciones de investigación académica y operadores de infraestructura crítica. Esto incluía una autoridad nacional responsable de la importación y exportación de uranio, metales raros y combustible nuclear.
Algunos de los otros hallazgos notables se enumeran a continuación:
- Dar prioridad a objetivos tecnológicos de alta sensibilidad, como administradores de contraseñas empresariales y servicios de bóveda segura, probablemente con el objetivo de perpetrar ataques a la cadena de suministro.
- Dirigirse a dispositivos VPN SSL orientados al borde cuyas interfaces administrativas pueden incorporar componentes basados en React
- Los primeros intentos de escaneo y explotación se originaron en direcciones IP previamente asociadas con grupos de amenazas afiliados a Asia.
En su propio análisis de los datos de los honeypots, Kaspersky dijo que registró más de 35.000 intentos de explotación en un solo día, el 10 de diciembre de 2025, y que los atacantes primero probaron el sistema ejecutando comandos como whoami, antes de eliminar mineros de criptomonedas o familias de malware de botnets como las variantes Mirai/Gafgyt y RondoDox.
Algunas de las otras cargas útiles observadas incluyen balizas Cobalt Strike, Sliver, Fast Reverse Proxy (FRP), una herramienta de monitoreo llamada Nezha, una carga útil de Node.js que recopila archivos confidenciales y arma a TruffleHog y Gitleaks para recopilar secretos, y una puerta trasera basada en Go con capacidades de shell inverso, reconocimiento y comando y control (C2).
Paralelamente, se estima que React2Shell ha producido más de 140 exploits de prueba de concepto de diferente calidad, y aproximadamente la mitad de ellos están rotos, son engañosos o inutilizables, según VulnCheck. Los repositorios de exploits restantes contienen lógica para cargar shells web en memoria como Godzilla, escanear en busca de fallas e incluso implementar un firewall de aplicaciones web (WAF) liviano para bloquear cargas maliciosas.
El investigador de seguridad Rakesh Krishnan también descubrió un directorio abierto alojado en «154.61.77(.)105:8082» que incluye un script de explotación de prueba de concepto (PoC) para CVE-2025–55182 junto con otros dos archivos:
- «dominios.txt», que contiene una lista de 35.423 dominios
- «next_target.txt», que contiene una lista de 596 URL, incluidas empresas como Dia Browser, Starbucks, Porsche y Lululemon.
Se ha evaluado que el actor de amenazas no identificado está escaneando activamente Internet en función de los objetivos agregados al segundo archivo, infectando cientos de páginas en el proceso.
La empresa de ciberseguridad y seguros cibernéticos Coalition ha comparado React2Shell con la vulnerabilidad Log4Shell de 2021 (CVE-2021-44228) y la describe como un «evento sistémico de agregación de riesgos cibernéticos».
Según los últimos datos de The Shadowserver Foundation, hay más de 137.200 direcciones IP expuestas a Internet que ejecutan código vulnerable al 11 de diciembre de 2025. De ellas, más de 88.900 instancias están ubicadas en EE. UU., seguidas de Alemania (10.900), Francia (5.500) e India (3.600).
