Kritikus kód- és működésbeli hibák
Két magas kockázatú, szolgáltatásmegtagadást okozó hibát (CVE-2025-55184, CVE-2025-67779) és egy közepes veszélyességű, forráskód-szivárgást eredményező hibát (CVE-2025-55183) fedeztek fel a biztonsági kutatók, akik az előző React2Shell sebezhetőség javításának hiányosságait tesztelték. A React2Shell-t (először 2025. december 3-án javították) lehetővé teszi a támadók számára a szerver védelmének megkerülését; 24 órán belül már 15 különálló támadássorozatot követtek nyomon.
A két DoS hiba kihasználásához elég egy speciálisan kialakított HTTP-kérést küldeni egy szerverfunkció-végpontra, amellyel végtelen ciklust idézhetnek elő, így a szerver lefagy, a CPU-terheltség megnő, a felhasználók számára elérhetetlenné válhat a szolgáltatás.
Kiszivárgó titkok, újabb frissítési hullám
A forráskód-kiszivárgási hiba egy adott szerverfunkció meglétét feltételezi, amely egy karakterlánccá alakított argumentumot tesz ki, így egy rosszindulatú kérés révén titkok (például jelszavak) kerülhetnek illetéktelen kezekbe. Fontos, hogy a futásidejű titkok (mint a process.env.SECRET) nem érintettek.
Az érintett verziók: a react, react-server és react-server-dom csomagok 19.0.0 és 19.2.2 közötti kiadásai. Az előző, React2Shell hibát javító verziók továbbra is sebezhetők az újabb hibákkal szemben. Azonnali frissítést javasolnak még azok számára is, akik a legutóbbi kritikus biztonsági javítást már telepítették.
Összehasonlítás és globális hatások
Több mint ötven cég érintett, az új hibákat pedig máris aktívan kihasználják. A szakértők ezt a helyzetet a 2021-es Log4Shell sebezhetőséghez (Log4Shell) hasonlítják, amikor több száz zsarolóvírus-támadás indult el világszerte.
