Source: dépôt public de l’auteur; contexte: la publication intervient après la circulation de PoC publics et l’usage d’une variante par l’outil de scanning de Google.

Le dépôt annonce la mise en ligne de trois PoC pour React2Shell (CVE-2025-55182): 00-very-first-rce-poc (premier PoC RCE, fonctionne directement sur des builds de développement de Next.js utilisant Webpack), 01-submitted-poc.js (le principal, exactement celui soumis à Meta, plus simple et efficace), et 02-meow-rce-poc (PoC haché et publié comme preuve par « Sylvie » le 29 novembre, peu avant la divulgation initiale à Meta).

Le mécanisme d’exploitation (TL;DR) est résumé ainsi: accès à un Chunk via $@x, plantation de then sur un objet contrôlé, déchaînement automatique des promesses imbriquées par le runtime JS, ré-entrée dans le parseur avec contrôle d’un faux objet Chunk, plantation sur _response pour accéder à de multiples « gadgets » (dont _formData), conduisant à la RCE.

L’auteur souligne des différences avec les PoC publics recréés: son PoC utilise une astuce dans then pour « chaîner » plusieurs chunks, en passant resolve à Array.map pour « sauter » vers un autre chunk défini dans $0. Les PoC recréés n’en ont pas besoin s’ils ne font qu’un seul saut, mais ils réutilisent le même gadget _formData. Le PoC 00- est décrit comme particulièrement complexe à lire. L’auteur note aussi que le « Google’s Scanner » utilise une variante du PoC soumis.

Indicateurs et techniques:

  • TTPs: accès à un Chunk via $@x; détournement du flux via then sur un objet contrôlé; exploitation du déchaînement automatique des promesses; ré-entrée dans le parseur avec un faux Chunk; abus des gadgets liés à _response et _formData pour atteindre la RCE.
  • IOCs: aucun indiqué.

Conclusion: il s’agit d’une publication technique rassemblant les PoC originaux de l’auteur pour CVE-2025-55182/React2Shell, avec une brève explication du primitif d’exploitation et l’annonce d’un « Full Writeup Soon ».

🧠 TTPs et IOCs détectés

TTP

Accès à un Chunk via $@x; détournement du flux via then sur un objet contrôlé; exploitation du déchaînement automatique des promesses; ré-entrée dans le parseur avec un faux Chunk; abus des gadgets liés à _response et _formData pour atteindre la RCE.

IOC

Aucun indiqué.

🔗 Source originale : https://github.com/lachlan2k/React2Shell-CVE-2025-55182-original-poc