Kritisk React2Shell-sårbarhed udnyttes aktivt af statslige aktører

Eskil Sørensen

12.09.2025 11:49

Angribere har angiveligt tilknytning til Kina

Den alvorlige sårbarhed i React og Next.js, som også går under navnet React2Shell, bliver nu aktivt udnyttet af trusselsaktører med tilknytning til Kina. Fejlen blev offentliggjort den 3. december 2025, og inden for få timer observerede Amazon Web Services (AWS) forsøg på udnyttelse fra grupper som Earth Lamia og Jackpot Panda.

Det skriver Bleeping Computer.

Sårbarheden har id'et EUVD-2025-200983 / CVE-2025-55182 og en score på 10,0. EPSS-scoren er nu, en lille uges tid efter offentliggørelsen, oppe på 27,2 pct, hvilket viser alvorligheden af sårbarheden og berettigelsen af EPSS-systemet.

React2Shell er en insecure deserialization-sårbarhed i React Server Components (RSC) ‘Flight’-protokollen. Angrebet kræver ingen autentifikation og gør det muligt at eksekvere JavaScript-kode i serverens kontekst. Det betyder, at en angriber kan opnå fuld kontrol over applikationen i standardkonfigurationen.

AWS rapporterer, at udnyttelsen begyndte næsten øjeblikkeligt efter offentliggørelsen. De observerede angreb stammer fra Kina-baseret infrastruktur og involverer både kendte grupper og nye aktører, herunder

Earth Lamia: Specialiserer sig i webapplikationsangreb og retter sig mod finans, logistik, detailhandel, IT, universiteter og myn digheder i Latinamerika, Mellemøsten og Sydøstasien.
Jackpot Panda: Fokuserer på mål i Øst- og Sydøstasien med henblik på indhentning af efterretninger om korruption og national sikkerhed.

Angrebene er ikke blot automatiserede scanninger. AWS har ifølge Bleeping Computer observeret manuelle forsøg, hvor angriberne tester forskellige payloads, udfører Linux-kommandoer som whoami og id, opretter filer (/tmp/pwned.txt) og læser følsomme systemfiler som /etc/passwd. Ydermere er flere PoC-udnyttelser allerede offentliggjort på GitHub, herunder bekræftede versioner fra Rapid7 og Elastic Security. Samtidig advarer researcheren Lachlan Davidson om falske exploits, der cirkulerer online. Til gengæld har
Assetnote frigivet en React2Shell-scanner, som organisationer kan bruge til at identificere sårbare miljøer.

React og Next.js har frigivet sikkerhedsopdateringer, hvorfor organisationer bør:

Opdatere til de nyeste versioner af React og Next.js omgående.
Scanne miljøer med værktøjer som Assetnotes React2Shell-scanner.
Overveje midlertidige mitigeringer, såsom at begrænse netværksadgang til serverkomponenter og implementere streng inputvalidering.

Husk du kan altid tilmelde dig DKCERTs varslingsservice og få besked om relevante sårbarheder på https://vulnerability.cert.dk/.

Læs mere

https://www.bleepingcomputer.com/news/security/react2shell-critical-flaw-actively-exploited-in-china-linked-attacks/

Sårbarhed