La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha pedido a las autoridades federales que instalen los últimos parches reaccionar2shell Vulnerabilidad hasta el 12 de diciembre de 2025, en medio de informes de explotación generalizada.
La vulnerabilidad crítica, CVE-2025-55182 (puntuación CVSS: 10.0), afecta el protocolo de vuelo de componentes de servidor React (RSC). La causa subyacente del problema es la deserialización insegura, que permite a un atacante inyectar lógica maliciosa que el servidor ejecuta en un contexto privilegiado. También afecta a otros marcos, incluidos Next.js, Waku, Vite, React Router y RedwoodSDK.
“Una única solicitud HTTP especialmente diseñada es suficiente; no se requieren requisitos de autenticación, interacción del usuario ni privilegios elevados”, dijo Cloudforce One, el equipo de inteligencia de amenazas de Cloudflare. “Si tiene éxito, el atacante puede ejecutar JavaScript privilegiado arbitrario en el servidor afectado”.
Desde su lanzamiento el 3 de diciembre de 2025, la falla ha sido explotada por múltiples actores de amenazas en varias campañas para realizar esfuerzos de reconocimiento y difundir una amplia gama de familias de malware.
El desarrollo llevó a CISA a agregar la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas el viernes pasado y dar a las agencias federales hasta el 26 de diciembre para aplicar las correcciones. Desde entonces, la fecha límite se cambió al 12 de diciembre de 2025, un reflejo de la gravedad del incidente.
La firma de seguridad en la nube Wiz dijo que había observado una “rápida ola de explotación oportunista” de la vulnerabilidad, con la gran mayoría de los ataques dirigidos a aplicaciones Next.js orientadas a Internet y otras cargas de trabajo de contenedores que se ejecutan en Kubernetes y servicios administrados en la nube.
 |
| Fuente de la imagen: Cloudflare |
Según Cloudflare, que también rastrea la actividad de explotación en curso, los actores de amenazas han realizado búsquedas utilizando plataformas de descubrimiento de activos y escaneo en Internet para encontrar sistemas expuestos que ejecuten aplicaciones React y Next.js. En particular, algunos de los esfuerzos de reconocimiento han excluido de sus búsquedas los espacios de direcciones IP chinas.
“Su nivel más alto de investigación se centró en redes en Taiwán, Xinjiang Uyghur, Vietnam, Japón y Nueva Zelanda, regiones a menudo asociadas con prioridades geopolíticas para la recopilación de inteligencia”, dijo la empresa de infraestructura web.
También se dice que la actividad observada se ha dirigido a sitios web gubernamentales (.gov), instituciones de investigación académica y operadores de infraestructura crítica, aunque de forma más selectiva. Esto incluía una autoridad nacional responsable de la importación y exportación de uranio, metales raros y combustible nuclear.
Algunos de los otros resultados notables se enumeran a continuación:
- Dar prioridad a objetivos tecnológicos altamente sensibles, como administradores de contraseñas empresariales y servicios de bóveda segura, probablemente con el objetivo de realizar ataques a la cadena de suministro.
- Dirigirse a dispositivos VPN SSL orientados al borde cuyas interfaces de administración pueden incluir componentes basados en React
- Los primeros intentos de escaneo y explotación se originaron en direcciones IP previamente asociadas con grupos de amenazas en Asia.
En su propio análisis de los datos del honeypot, Kaspersky dijo que registró más de 35.000 intentos de explotación en un solo día, el 10 de diciembre de 2025, y los atacantes primero probaron el sistema ejecutando comandos como whoami antes de eliminar a los mineros de criptomonedas o familias de malware de botnets como las variantes Mirai/Gafgyt y RondoDox.
El investigador de seguridad Rakesh Krishnan también descubrió un directorio abierto alojado en “154.61.77(.)105:8082” que contiene un script de explotación de prueba de concepto (PoC) para CVE-2025-55182 y otros dos archivos:
- “dominios.txt” que contiene una lista de 35,423 dominios
- “next_target.txt”, que contiene una lista de 596 URL, incluidas empresas como Dia Browser, Starbucks, Porsche y Lululemon.
Se descubrió que el actor de amenazas no identificado estaba escaneando activamente Internet utilizando los objetivos agregados al segundo archivo, infectando cientos de páginas.
Según los últimos datos de la Fundación Shadowserver, al 11 de diciembre de 2025, había más de 137.200 direcciones IP expuestas en Internet ejecutando código vulnerable. De ellos, más de 88.900 casos se encuentran en EE.UU., seguido de Alemania (10.900), Francia (5.500) y la India (3.600).
About The Author
