A React csapata megjelentetett javításokat két új típusú hiba ellen, amelyek a React Server Components (RSC) rendszert érintik. Ezek a sérülékenységek, sikeres kihasználás esetén, a szolgáltatásmegtagadásos (DoS) támadásokhoz vagy forráskód kiszivárogtatásához vezethetnek.

A probléma a CVE-2025-55182, más néven React2Shell kritikus – 10 pontot kapó veszélyességi osztályozással ellátott – sebezhetőség folytatásaként merült fel. Ez a hiba az RSC Flight protokollját célozza, veszélyes deszerializálással.

Különösen aggasztó, hogy a React2Shell elleni támadások globális szinten növekednek, más sérülékenységekkel együtt, amik lehetőséget biztosítanak a kriptopénzbányász és újabb, eddig ismeretlen rosszindulatú szoftverek telepítésére.

Különböző Perspektívák

Az elkövetők kilétéről szóló jelentések nem egységesek: míg egyes források, mint például a 13-as forrás, kínai hackereket vádolnak ezzel a sebezhetőséggel történő visszaéléssel, addig mások, közöttük az 5-ös forrás, észak-koreai szereplőket hoznak összefüggésbe a támadásokkal.

A reagálás részeként a CISA sürgette a kormányzati ügynökségeket, hogy foltozzák a sebezhetőséget december 12-ig. A hiba az RSC 19.0.1, 19.1.2, és 19.2.1 verzióiban került kijavításra.

Ezen fejlemények súlyossága megköveteli az érintett hálózatok folyamatos felügyeletét és a megelőző intézkedések időben történő végrehajtását, különös figyelemmel a nemzetközi fenyegetésekre.