Selon The Register (article de Carly Page), AWS avertit que des groupes étatiques chinois ont commencé à exploiter quelques heures après sa divulgation la faille critique « React2Shell » (CVE-2025-55182), détectée via son réseau de honeypots MadPot. L’éditeur indique avoir vu des tentatives par des clusters connus, dont Earth Lamia et Jackpot Panda, utilisant des requêtes HTTP basées sur des exploits publics.

La vulnérabilité, de sévérité maximale, affecte React Server Components et des frameworks dépendants comme Next.js. Elle découle d’une désérialisation non sécurisée dans les packages côté serveur de React, permettant à un attaquant non authentifié d’envoyer une requête spécialement conçue pour obtenir une exécution de code à distance (RCE). 🐞

AWS précise avoir déployé des mesures de mitigation sur ses services managés, tout en soulignant qu’elles ne remplacent pas un correctif. Les clients exécutant React ou Next.js sur EC2, en conteneurs ou sur infrastructures auto‑gérées sont incités à mettre à jour immédiatement. De son côté, Wiz (Google) estime qu’environ 39 % des environnements cloud étaient encore vulnérables plus tôt dans la semaine, augmentant le rayon d’impact potentiel compte tenu de la diffusion massive de React.

Le débat sur la proportionnalité de la réaction s’intensifie. Le chercheur Kevin Beaumont juge qu’une partie du secteur s’est emballée, causant des pannes auto‑infligées par des changements d’urgence mal ciblés. Il cite une panne chez Cloudflare qu’il attribue à des mesures internes prises pour traquer une vulnérabilité qu’il qualifie de « très niche », alors que React a publié des correctifs le jour même de la divulgation. AWS souligne que tout retard de patch doit conduire à présumer des sondages déjà effectués par des attaquants.

Indicateurs et techniques observés:

  • Groupes impliqués: Earth Lamia, Jackpot Panda (liaison étatique chinoise)
  • Vulnérabilité: CVE-2025-55182 (« React2Shell »)
  • TTPs: scans et exploitation rapide post-divulgation, requêtes HTTP spécialement conçues basées sur des PoC publics, ciblage d’applications web, détection via honeypots (AWS MadPot)

Type d’article: article de presse spécialisé. Objet principal: relayer l’alerte d’AWS sur l’exploitation active de la vulnérabilité React et l’ampleur du risque, tout en reflétant les réactions de l’écosystème.

🔗 Source originale : https://www.theregister.com/2025/12/05/aws_beijing_react_bug/