Siga o Xataka Brasil no Google Discover!
Tendências do dia

"Apliquem o patch agora": vulnerabilidade de gravidade máxima no React ameaça 39% dos ambientes de nuvem — especialistas alertam

Nota 10 no quesito periculosidade

Perigo digital | Fonte: Getty Images
Sem comentários Facebook Twitter Flipboard E-mail
vika-rosa

Vika Rosa

Redatora
vika-rosa

Vika Rosa

Redatora

Jornalista com mais de 5 anos de experiência, cobrindo os mais diversos temas. Apaixonada por ciência, tecnologia e games.


Linkedin instagram
77 publicaciones de Vika Rosa

Especialistas em segurança e engenheiros de software estão em estado de alerta após a divulgação de uma vulnerabilidade de gravidade máxima (pontuação 10/10) no React Server, um pacote de código aberto amplamente utilizado em aplicativos web e ambientes de nuvem. A falha é considerada de fácil exploração e permite que hackers executem código malicioso remotamente em servidores que a utilizam.

O alerta veio após a divulgação do código de exploração em redes sociais e em relatórios de empresas de segurança como Wiz e Aikido. A vulnerabilidade, rastreada como CVE-2025-55182, é crítica porque o React é incorporado por cerca de 6% de todos os sites e é crucial para o desempenho de 39% dos ambientes de nuvem, onde sua exploração pode dar controle total aos atacantes.

Como a falha permite o controle remoto

A vulnerabilidade reside no Flight, um protocolo presente nos componentes de servidor do React, e decorre da desserialização insegura. A desserialização é o processo que converte uma linha de texto ou de código em estruturas de dados compreensíveis pelo sistema.

Segundo a Wiz, o problema é técnico, mas o vetor de ataque é simples:

  1. Requisito mínimo: a exploração não requer autenticação e exige apenas uma única requisição HTTP especialmente elaborada para o servidor alvo.
  2. Alta fidelidade: a Wiz afirmou que, em seus testes, o código de exploração apresentou uma confiabilidade de "quase 100%".
  3. Execução de código: o payload (código malicioso) malformado não é validado corretamente pelo servidor, permitindo que dados controlados pelo atacante influenciem a lógica de execução, resultando na execução remota completa de código JavaScript privilegiado.

A gravidade é ampliada porque diversos frameworks populares, como Next.js, RedwoodSDK e Vite RSC, incorporam implementações do React por padrão, tornando-os vulneráveis mesmo que o desenvolvedor não utilize explicitamente a funcionalidade do React.

Estudo brasileiro revela como algoritmos da internet reproduzem — e ampliam — o racismo da sociedade
Em Xataka Brasil
Estudo brasileiro revela como algoritmos da internet reproduzem — e ampliam — o racismo da sociedade

Ação urgente recomendada

A combinação de uso generalizado, facilidade de exploração e o risco de controle total dos servidores conferiu à falha a classificação máxima de 10.0 de gravidade.

Em resposta, a atualização para corrigir o problema foi lançada imediatamente. Especialistas em segurança, como o Taggart do InfoSec, usaram as redes sociais para implorar aos desenvolvedores e administradores de sistemas: "Normalmente não digo isso, mas apliquem o patch agora mesmo".

As versões vulneráveis do React incluem 19.0.1, 19.1.2 ou 19.2.1. Administradores e desenvolvedores são urgentemente aconselhados a:

  • Instalar imediatamente as versões corrigidas do React e quaisquer dependências.
  • Consultar os mantenedores de frameworks (como Next.js) para obter orientações específicas de atualização.
  • Verificar seus códigos-fonte e repositórios em busca de qualquer uso do React.
Assuntos

Ver 0 Comentários

Voltar ao topo

Edições internacionais

Informações

Inicio