Kritisk React-sårbarhed

En ny kritisk sårbarhed i React, kendt som React2Shell, har fået cybersikkerhedsbranchen til at hæve beredskabet. 

Det skriver Security Week.

Sårbarheden har id'et EUVD-2025-200983 / CVE-2025-55182) og en CVSS-score på 10,0. Den gør det muligt for en uautentificeret angriber at udføre fjernkodekørsel via manipulerede HTTP-anmodninger. Den er blevet tilføjet CISAs katalog over kendte udnyttede sårbarheder i dag med deadline for håndtering den 26. december. 

Sårbarheden påvirker ifølge Security Week React versioner 19.0, 19.1.0, 19.1.1 og 19.2.0
De patchede versioner er 19.0.1, 19.1.2 og 19.2.1.

Cloud sikkerhedsfirmaet Wiz vurderer, at 39 pct. af cloud-miljøer indeholder sårbare React-instanser. Proof-of-concept exploits er allerede offentliggjort, og sårbarheden er tilføjet til automatiske scannere. Eksperter forventer derfor snarlig udnyttelse i praksis. Det er formentlig årsagen til at CISA har sat den i KEV-kataloget. EPSS-scoren er dog fortsat på 0 pct.

Ifølge Palo Alto Networks’ Unit 42 fungerer angrebet som en “master key exploit”, der udnytter systemets tillid til indgående datastrukturer. Angrebet kræver ingen autentificering og kan udføres med høj stabilitet.

Det anbefales, at 

• React opdateres til de nyeste patchede versioner.
• brug af React Server Components i egne applikationer og frameworks som Next.js. identificeres
• WAF-regler implementeres – Google Cloud, AWS og Cloudflare har allerede frigivet beskyttelse.
• der scannes for sårbare instanser – benyt værktøjer fra fx Tenable, Wiz eller Orca Security.
• logs og trafik for tegn på udnyttelsesforsøg overvåges.

React er et populært JavaScript-bibliotek til udvikling af brugergrænseflader og anvendes af millioner af websites og tjenester.