Especialistas do Google Threat Intelligence Group (GTIG) identificaram uma nova vulnerabilidade crítica (CVE-2025-55182) numa das bibliotecas de componentes de interface React mais utilizadas mundialmente. A falha permite a execução remota de código e já é alvo de exploração ativa por múltiplos grupos de cibercriminosos que instalam um webshell denominado “React2Shell” para controlar servidores.
O alerta surge após a deteção de uma vaga de ataques que tiram partido de uma falha na sanitização de dados de entrada em componentes específicos desta biblioteca. Embora o GTIG tenha optado por não revelar o nome exato da ferramenta para evitar alargar o vetor de ataque antes de a maioria dos sistemas receber a correção, o grupo sublinha a gravidade da situação. A exploração bem-sucedida desta vulnerabilidade crítica em biblioteca React concede aos atacantes acesso inicial a ambientes de servidor vulneráveis.
O perigo da vulnerabilidade crítica em biblioteca React
A falha, rastreada como CVE-2025-55182, possui uma pontuação de severidade elevada. A sua origem reside na forma insegura como a biblioteca afetada processa certos inputs fornecidos pelo utilizador antes de os renderizar no lado do servidor. Esta lacuna permite que agentes maliciosos injetem código arbitrário que o servidor interpreta e executa.
A consequência direta desta vulnerabilidade crítica em biblioteca React é a capacidade de um atacante remoto, sem necessidade de autenticação prévia, comprometer totalmente a aplicação web e o servidor subjacente. Isto abre caminho para o roubo de dados sensíveis, interrupção de serviços ou utilização da infraestrutura comprometida para lançar ataques adicionais.
“React2Shell”: A nova ferramenta de ataque
O relatório do Google Threat Intelligence Group detalha que, após a exploração inicial da CVE-2025-55182, os atacantes implantam quase imediatamente um webshell personalizado, agora identificado como “React2Shell”. Este script malicioso funciona como uma porta dos fundos (backdoor) persistente.
Através do “React2Shell”, os invasores garantem uma presença contínua no sistema comprometido. A ferramenta permite-lhes executar comandos de sistema operativo, exfiltrar ficheiros, mover-se lateralmente na rede interna da organização vítima e preparar o terreno para a implementação de cargas maliciosas mais destrutivas, como ransomware.
Exploração ativa e mitigação urgente
O GTIG adverte que esta vulnerabilidade crítica em biblioteca React não é apenas uma ameaça teórica. Múltiplos atores de ameaças, desde grupos patrocinados por estados (APTs) a cibercriminosos focados em lucro financeiro, já incorporaram o exploit nos seus arsenais. A rapidez da adoção desta técnica demonstra o alto valor estratégico da falha.
A recomendação é perentória: as organizações que utilizam bibliotecas de componentes React na sua stack tecnológica devem verificar imediatamente a existência de atualizações de segurança junto dos mantenedores oficiais e aplicá-las sem demora. Dada a exploração ativa, a correção desta vulnerabilidade crítica em biblioteca React é a única medida eficaz para mitigar o risco de compromisso total. Equipas de segurança devem também auditar logs em busca de indicadores de compromisso associados ao “React2Shell”.
Para mais informações, leia o artigo do Google Threat Intelligence.
Outros artigos interessantes:
