React2Shell to luka bezpieczeństwa sklasyfikowana jako CVE-2025-55182. Wpływa na systemy oparte na wersji 19 popularnej biblioteki JavaScript React o otwartym kodzie źródłowym i wykorzystuje komponenty React Server Components (RSC). Dodatkowo dotyczy frameworków wykorzystujących React, takich jak Next.js, React Router, RedwoodSDK i Waku. Podatność jest świeża – została upubliczniona 3 grudnia 2025 roku.

Autor: 3 min czytania

Bardzo dokładnie pisaliśmy o tej luce przy okazji dodania jej do katalogu CISA. Artykuł, który znajdziesz tutaj, zawiera opisy techniczne i informacje o przeciwdziałaniu.

Przypomnijmy skalę zagrożenia. Nawet ~39% środowisk chmurowych może mieć zainstalowane wersje podatne na React2Shell. Dane skanowania Internetu wskazują też, że wiele publicznie dostępnych usług (internet-facing) może być narażonych – co stawia w obliczu zagrożenia dużą część współczesnych aplikacji webowych.

Błąd umożliwia nieuwierzytelnionym atakującym wysyłanie specjalnie spreparowanych żądań HTTP do punktów końcowych funkcji serwera React i zdalne wykonanie kodu (RCE).

Wykorzystywanie luki rozpoczęło się w ciągu kilku dni od jej publicznego ujawnienia. Tydzień później obserwowano już wielu cyberprzestępców atakujących podatne instancje.

Między innymi operatorzy botnetu RondoDox, którzy dołączyli do ataków jako jedni z pierwszych, przez ostatnie trzy tygodnie koncentrowali się na wykorzystywaniu instancji Next.js dotkniętych React2Shell. W dniach od 8 do 16 grudnia obserwowano, jak skanują serwery w poszukiwaniu luk w zabezpieczeniach za pomocą ślepych testów RCE. 13 grudnia rozpoczęli wdrażanie złośliwych pakietów.

Ustawienia RondoDox zaprojektowano w celu oczyszczenia zainfekowanego hosta z innych botów i koparek kryptowalut, wdrożenia klienta bota i zapewnienia trwałości. Na zainfekowanych systemach instalowano również koparkę i wariant Mirai. Chociaż eksploatacja React2Shell przez botnet obejmowała pakiet skoncentrowany na Linuksie, RondoDox znany jest z podejścia „exploit shotgun” do infekowania urządzeń.

Całość procesu znamy dzięki badaczom z CloudSEK. Według nich pierwsze próby wykorzystania luk w zabezpieczeniach miały miejsce w marcu 2025 roku, a systematyczne skanowanie podatności rozpoczęło się już początku kwietnia. W lipcu hakerzy rozpoczęli wdrażanie klienta bota. Ataki przybrały na sile w grudniu.

Od tego czasu hakerzy włamywali się na routery z dostępem do Internetu, kamery IP i urządzenia sieciowe, wykorzystując ładunki dla architektur x86, x86_64, MIPS, ARM i PowerPC.

Oprócz wykorzystywania aplikacji internetowych do wstępnego dostępu, ataki RondoDox obejmują kradzież danych uwierzytelniających i ruch boczny.