React2Shell

Dans un billet technique publié le 14 janvier 2026, l’auteur détaille une méthode permettant à un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnérabilité React2Shell (CVE-2025-55182). Le contexte décrit que l’exploitation de React2Shell peut laisser très peu de traces et permettre à un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clé pour chiffrer et authentifier les cookies de session. ...

Selon HackRead, le groupe de hackers RondoDox exploite la vulnérabilité React2Shell dans Next.js pour mener des attaques à grande échelle. 🚨 Nature de l’attaque: Exploitation active d’une faille baptisée React2Shell au sein de Next.js par le groupe RondoDox. 📈 Impact: Plus de 90 000 appareils sont visés, incluant des routeurs, des caméras intelligentes et des sites web de petites entreprises. 🧩 Vecteur: L’attaque repose sur l’exploitation de la faille React2Shell dans le framework Next.js. ...

Selon GreyNoise Research (blog), dans un article du 17 décembre 2025, l’équipe a étudié plus de 50 000 payloads liés à la campagne React2Shell ciblant des React Server Components et a analysé leur taille, style et logique pour déterminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majorité des tentatives (150–400/200–500 octets) sont du bruit automatisé (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≥1 000 octets) correspond à des charges utiles réelles (ex. crypto-mining, DoS, persistence, élimination de concurrents). Un « middle messy » reflète des variantes de botnets IoT (Mirai) avec des clusters hétérogènes. ...

Source: S-RM — Dans un rapport d’incident, S-RM décrit l’exploitation de la vulnérabilité critique React2Shell (CVE-2025-55182) comme vecteur d’accès initial menant au déploiement du ransomware Weaxor. Ce cas marque la première observation par S-RM de l’usage de cette faille par des acteurs à but financier pour de l’extorsion, élargissant l’impact connu au-delà des backdoors et crypto‑miners. Vulnérabilité: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exécution de code à distance non authentifiée via une requête HTTP malveillante, avec exécution sous l’utilisateur du processus serveur. Gravité CVSS 10.0, exploitation aisée et propice à l’automatisation 🚨. ...

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu après la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inédit bien plus avancé que les charges observées initialement (miners, vols d’identifiants). 🚨 Points saillants: EtherRAT est une porte dérobée persistante en quatre étapes (shell dropper → déploiement → déchiffreur → implant) qui exploite React2Shell pour exécuter du code à distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant télécharge un runtime Node.js légitime (v20.10.0) depuis nodejs.org, charge un payload chiffré (AES‑256‑CBC), et établit un C2 via un smart contract Ethereum (résolution par consensus multi‑RPC) avec polling toutes les 500 ms et exécution de code JavaScript arbitraire. ...

Source et contexte: GreyNoise publie exceptionnellement un brief « At The Edge » ouvert au public (mise à jour au 8 décembre 2025) sur l’exploitation opportuniste de CVE-2025-55182 (« React2Shell »), une RCE non authentifiée affectant le protocole Flight des React Server Components et des écosystèmes en aval comme Next.js, avec des correctifs déjà disponibles. GreyNoise observe une exploitation rapide post-divulgation et un volume stable d’attaques. Au 2025‑12‑08, 362 IPs uniques ont tenté l’exploitation ; 152 (≈42 %) comportaient des charges actives analysables. Les sources sont géographiquement variées, reflétant à la fois botnets et acteurs plus outillés. L’infrastructure est majoritairement « fraîche » (vue après juillet 2025), avec près de 50 % des IPs observées pour la première fois en décembre 2025. ...

Source et contexte — BleepingComputer (Lawrence Abrams, 6 déc. 2025) signale une exploitation à grande échelle de React2Shell (CVE-2025-55182), une faille de désérialisation non sécurisée dans React Server Components (touchant aussi Next.js), permettant une exécution de code à distance (RCE) non authentifiée via une seule requête HTTP. Les projets doivent mettre à jour React, recompiler et redéployer leurs applications. 🚨 Portée et exploitation — La fondation Shadowserver a recensé 77 664 adresses IP vulnérables (dont ~23 700 aux États‑Unis). GreyNoise a observé 181 IP distinctes tentant d’exploiter la faille en 24 h, avec un trafic majoritairement automatisé venant notamment des Pays‑Bas, de Chine, des États‑Unis et de Hong Kong. Palo Alto Networks indique que 30+ organisations ont déjà été compromises, avec exécution de commandes, reconnaissance et tentatives de vol de fichiers de configuration/identifiants AWS. Des intrusions sont liées à des acteurs étatiques chinois. ...

Source: GreyNoise (Threat Signals) — Le billet de boB Rudis décrit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnérabilité RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents à la mise à jour. • Vulnérabilité et portée: l’issue, de sévérité maximale, réside dans le protocole Flight de RSC et permet une exécution de code à distance non authentifiée sur des déploiements vulnérables, avec impact aval sur Next.js. GreyNoise note que les services exposés sont facilement découvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est déjà en cours. ...

Source: dépôt public de l’auteur; contexte: la publication intervient après la circulation de PoC publics et l’usage d’une variante par l’outil de scanning de Google. Le dépôt annonce la mise en ligne de trois PoC pour React2Shell (CVE-2025-55182): 00-very-first-rce-poc (premier PoC RCE, fonctionne directement sur des builds de développement de Next.js utilisant Webpack), 01-submitted-poc.js (le principal, exactement celui soumis à Meta, plus simple et efficace), et 02-meow-rce-poc (PoC haché et publié comme preuve par « Sylvie » le 29 novembre, peu avant la divulgation initiale à Meta). ...