React2Shell (CVE-2025-55182): Vulnerabilidade crítica de execução remota de código nos Server do React

A CVE-2025-55182 é uma vulnerabilidade crítica de execução remota de código pré-autenticação nos React Server , com uma pontuação CVSS de 10,0 — a classificação de gravidade mais elevada possível. No âmbito do Programa de BolsasOPSWAT , os nossos bolseiros realizaram uma análise técnica abrangente desta vulnerabilidade, examinando a sua causa principal no protocolo de deserialização do React Flight, a cadeia de exploração completa e o seu impacto generalizado no ecossistema web moderno. Este blogue apresenta as nossas conclusões, juntamente com orientações práticas para os defensores.

O React tornou-se uma das bibliotecas front-end mais utilizadas em todo o mundo, estando na base de uma parte significativa das mobile web e mobile modernas. Os inquéritos aos programadores do Stack Overflow classificam consistentemente o React entre as principais estruturas web, com uma adoção que ultrapassa os 40% dos programadores profissionais a nível global. Paralelamente a este crescimento, a equipa do React introduziu Server React Server (RSC) como uma funcionalidade central do React 19 — uma mudança de paradigma que transfere a lógica de renderização do cliente para o servidor, permitindo um desempenho otimizado e uma integração mais estreita entre o código do lado do servidor e do lado do cliente.

No entanto, esta evolução arquitetónica introduziu uma nova superfície de ataque crítica. A 29 de novembro de 2025, o investigador de segurança Lachlan Davidson comunicou uma vulnerabilidade na lógica de deserialização do lado do servidor do React ao programa Bug Bounty da Meta. Divulgada publicamente a 3 de dezembro de 2025, com o código CVE-2025-55182, a falha permite a execução remota de código sem autenticação através de uma única solicitação HTTP manipulada. Classificada como CWE-502 (Deserialização de Dados Não Confiáveis), a vulnerabilidade não requer autenticação, interação do utilizador nem configuração especial da aplicação — uma implementação padrão do tipo «create-next-app» criada para produção é imediatamente explorável.

O React é uma biblioteca JavaScript para a criação de interfaces de utilizador, mantida pela Meta e por uma vasta comunidade de código aberto. Server React Server (RSC), introduzidos com o React 19, representam uma mudança fundamental na forma como as aplicações React lidam com a renderização. Ao contrário dos componentes de cliente tradicionais, que são executados inteiramente no navegador, os componentes de servidor são executados no servidor, produzindo uma representação serializada da interface do utilizador que é transmitida para o cliente. Este design reduz a quantidade de JavaScript enviada para o navegador, melhora as métricas de tempo de interação e permite o acesso direto a recursos do lado do servidor, tais como bases de dados e sistemas de ficheiros.

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

Considere uma Server definida da seguinte forma:

O pedido HTTP correspondente contém vários campos de formulário, cada um composto por uma chave e um valor: o campo 0 contém a matriz de argumentos com referências como "$W1" e "$K2", enquanto os campos 1 e 2_* contêm os dados a que essas referências remetem. O servidor processa cada campo à medida que este chega, armazenando os resultados intermédios em objetos denominados «chunks».

Um chunk é um objeto thenable com quatro propriedades principais: status (o estado de resolução), value (os dados armazenados), reason (informações sobre o erro) e _response (uma referência ao objeto de resposta pai). Quando o servidor encontra o chunk await, o método .then() do chunk é invocado. Se o status do chunk for INITIALIZED, a callback de resolução recebe chunk.value. Se o status for PENDING, BLOCKED ou CYCLIC, as callbacks são enfileiradas para execução posterior.

O texto a seguir descreve como o Next.js processa um pedido Server recebido em condições normais, desde a camada HTTP até ao motor de deserialização do React Flight.

Quando uma Server é invocada, o pedido entra na função `handleAction`. Esta função valida os metadados, verifica os cabeçalhos e os tokens CSRF e confirma se o pedido é uma ação de recuperação válida. É então criado um fluxo chamado busboyStream para analisar o corpo do formulário multipart. A função decodeReplyFromBusboy vincula emissores de eventos a este fluxo, acionando as funções de tratamento de deserialização ServerReact Serverà medida que os dados brutos são recebidos. O valor de retorno de decodeReplyFromBusboy é chunk_0; o operador await resolve-o e passa o seu valor montado para a Server invocada.

A função getChunk devolve o chunk correspondente a um determinado ID. Se esse chunk ainda não existir, cria um ResolvedModelChunk (se já houver dados em response._formData) ou um PendingChunk (se ainda não tiverem chegado dados para esse ID).

Quando a função `decodeReplyFromBusboy` devolve `chunk_0`, o bloco continua no estado PENDING. O operador `await` chama `chunk_0.then()` e armazena temporariamente as callbacks `resolve` e `reject` em `chunk_0.value` e `chunk_0.reason`. Estas callbacks são reativadas pela função `wakeChunk` assim que a resolução da referência estiver concluída.

Quando o busboyStream recebe um campo de dados brutos completo, aciona o emissor de eventos «field», invoca a função resolveField e inicia a deserialização — convertendo os dados brutos do formulário em objetos JavaScript totalmente construídos. As seguintes funções controlam este processo.

resolveField(resposta, chave, valor)

A chave e o valor são anexados a response._formData. A função recupera então o fragmento correspondente ao ID que coincide com a chave. Se esse fragmento já existir, a função resolveModelChunk é chamada para o reconstruir. Esta resolução diferida é necessária porque um valor pode conter referências a campos cujos dados brutos ainda não chegaram; nesse caso, o React Server um PendingChunk com callbacks personalizados de resolução e rejeição para tratar essas referências posteriormente.

resolveModelChunk(chunk, valor, id)

resolveModelChunk cria um ResolvedModelChunk com o estado RESOLVED_MODEL e injeta os dados brutos. Em seguida, reconstrói o chunk através de initializeModelChunk e chama wakeChunk para acionar quaisquer callbacks de resolução e rejeição em fila, concluindo a resolução do objeto ou da referência.

initializeModelChunk(chunk)

A função `initializeModelChunk` altera o estado do chunk para `CYCLIC` — indicando que a resolução de referências está em curso — e inicia a deserialização. Ela constrói um objeto JavaScript bruto a partir de `chunk.value` utilizando `JSON.parse` e, em seguida, passa esse objeto para a função `reviveModel`.

reviveModel(resposta, objetoPai, chavePai, valor, referência)

O reviveModel processa recursivamente cada componente do objeto analisado. Quando encontra um valor de cadeia de caracteres, chama a função parseModelString para o processar.

parseModelString(resposta, objeto, chave, valor, referência)

A função `parseModelString` analisa o prefixo da string para lidar com diferentes tipos de codificação. No caso de referências que começam por $, a função `getOutlinedModel` é chamada para resolver a referência entre blocos.

getOutlinedModel(resposta, referência, objetoPai, chave, mapa)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

A falha crítica reside no facto de estes nomes de propriedades nunca serem validados. O servidor não verifica se as propriedades solicitadas são propriedades próprias do objeto ou propriedades herdadas do protótipo. Um invasor pode, portanto, incluir __proto__ no caminho da propriedade para percorrer a cadeia de protótipos e alcançar métodos internos que nunca deveriam ser acessíveis a partir de entradas controladas pelo utilizador. Por exemplo, a referência $1:__proto__:then resolve-se em Chunk.prototype.then — uma função que o invasor pode então invocar com argumentos controlados.

A cadeia de exploração aproveita dois percursos de código distintos na lógica de deserialização Flight do React.

O primeiro é o Chunk.prototype.then, que determina o comportamento dos chunks enquanto thenables. Quando o operador await é aplicado a um chunk no estado INITIALIZED, é chamada a função resolve(chunk.value). Se chunk.value for, por sua vez, um thenable (um objeto com um método .then() ), o operador await invoca recursivamente chunk.value.then(). Esta resolução recursiva é o mecanismo através do qual um atacante redireciona a execução para uma função arbitrária.

O segundo é o manipulador do prefixo $B (blob) dentro da função parseModelString():

No caso $B, a função chama response._formData.get(response._prefix + id). Tanto _formData.get como _prefix são propriedades do objeto _response armazenado no interior do chunk. Ao controlar estas propriedades através da percussão da cadeia de protótipos, um atacante pode redirecionar esta chamada para invocar o construtor global Function com código arbitrário como argumento.

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

Para demonstrar o potencial impacto no mundo real, os nossos investigadores criaram uma carga útil de prova de conceito em consonância com a análise documentada de forma independente por várias equipas de investigação em segurança. A exploração funciona em duas fases:

Fase 1 - Construir o fragmento falso:

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

Como o campo 1 ainda não foi recebido nesta altura, o React Server cria Server callbacks de resolução e rejeição para tratar da referência pendente.

Fase 2 - Resolução do gatilho:

Assim que o campo 1 — que contém "$@0", uma referência bruta ao chunk 0 — é entregue, o chunk pendente é resolvido e aponta diretamente para o chunk falso. Isto aciona o wakeChunk, que processa as callbacks em fila e inicia a percussão da cadeia de protótipos durante a resolução da referência. Assim que o chunk falso estiver totalmente resolvido, o wakeChunk é chamado novamente. Como o callback de resolução para o chunk falso é a função de resolução implícita do Node.js, este invoca o método .then() do chunk e resolve o seu valor — acabando por construir e executar o código malicioso injetado através do construtor Function.

A exploração completa requer apenas uma única solicitação HTTP:

Os nossos colegas reproduziram a vulnerabilidade num ambiente de laboratório controlado, utilizando uma aplicação Next.js padrão gerada com o create-next-app e preparada para produção — sem quaisquer alterações à configuração predefinida. A reprodução confirmou que a carga útil de exploração de uma única solicitação descrita acima permite a execução remota de código de forma fiável.

A equipa do React lançou correções a 3 de dezembro de 2025 — no mesmo dia em que a vulnerabilidade foi divulgada publicamente. As versões corrigidas estão disponíveis como React 19.0.1, 19.1.2 e 19.2.1. O patch adiciona uma validação rigorosa de propriedades em getOutlinedModel() e reviveModel(), bloqueando explicitamente a resolução de propriedades de protótipo herdadas — incluindo __proto__, constructor e prototype — a partir de caminhos de referência controlados pelo utilizador em cargas úteis Flight.

As organizações devem tomar as seguintes medidas imediatas:

1. Atualize os pacotes React para uma versão corrigida (19.0.1, 19.1.2 ou 19.2.1) executando o comando npm install react-server-dom-webpack@latest, react-server-dom-parcel@latest ou react-server-dom-turbopack@latest, conforme o caso.
2. Atualizar as dependências das estruturas - O Next.js, o React Router, o Waku e outras estruturas afetadas lançaram as correções correspondentes. Consulte o comunicado da equipa do React para obter informações sobre os procedimentos de atualização específicos para cada versão.
3. Não confie exclusivamente nas medidas de mitigação dos fornecedores de alojamento — embora fornecedores como a Vercel tenham implementado regras WAF temporárias após a divulgação, estas são medidas provisórias e não substituem a aplicação de correções aos pacotes subjacentes.
4. Analise os registos do servidor para detetar pedidos POST com cabeçalhos Next-Action e corpos multipart/form-data que contenham os padrões $@ ou __proto__, e verifique se existem chamadas inesperadas de child_process ou execSync nos registos da aplicação.

OPSWAT , uma tecnologia proprietária da plataforma MetaDefender™, oferece a visibilidade e o controlo necessários para proteger contra vulnerabilidades como a CVE-2025-55182. Uma vez que esta falha reside em pacotes npm de código aberto (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack), as organizações devem primeiro estabelecer um inventário completo dos locais onde estes componentes estão implementados na sua infraestrutura, antes de ser possível uma correção eficaz.