Múltiples actores de amenazas vinculados a China comenzaron a explotar la vulnerabilidad React2Shell (CVE-2025-55182) que afecta a React y Next.js apenas unas horas después de que se revelara el problema de gravedad máxima.
reaccionar2shell es una vulnerabilidad de deserialización insegura en el protocolo 'Flight' de React Server Components (RSC). Explotarlo no requiere autenticación y permite la ejecución remota de código JavaScript en el contexto del servidor.
Para el marco Next.js, existe el identificador CVE-2025-66478, pero el número de seguimiento fue rechazado en la lista CVE de la Base de datos nacional de vulnerabilidades como un duplicado de CVE-2025-55182.
El problema de seguridad es fácil de aprovechar y ya se han publicado varios exploits de prueba de concepto (PoC), lo que aumenta el riesgo de actividad de amenazas relacionadas.
La vulnerabilidad abarca varias versiones de la biblioteca ampliamente utilizada, exponiendo potencialmente miles de proyectos dependientes. Los investigadores de Wiz dicen que el 39% de los entornos de nube que pueden observar son susceptibles a ataques de React2Shell.
React y Next.js han publicado actualizaciones de seguridad, pero el problema se puede explotar trivialmente sin autenticación y en la configuración predeterminada.
Ataques de React2Shell en marcha
Un informe de Amazon Web Services (AWS) advierte que los actores de amenazas Earth Lamia y Jackpot Panda vinculados a China comenzaron a explotar React2Shell casi inmediatamente después de la divulgación pública.
«A las pocas horas de la divulgación pública de CVE-2025-55182 (React2Shell) el 3 de diciembre de 2025, los equipos de inteligencia de amenazas de Amazon observaron intentos de explotación activa por parte de múltiples grupos de amenazas vinculados al estado de China, incluidos Earth Lamia y Jackpot Panda». lee el informe de AWS.
Los honeypots de AWS también detectaron actividad que no se atribuye a ningún clúster conocido, pero que aún se origina en la infraestructura con sede en China.
Muchos de los grupos atacantes comparten la misma infraestructura de anonimización, lo que complica aún más el seguimiento individualizado y la atribución específica.
En cuanto a los dos grupos de amenazas identificados, Earth Lamia se centra en explotar las vulnerabilidades de las aplicaciones web.
Los objetivos típicos incluyen entidades de los sectores de servicios financieros, logística, comercio minorista, empresas de TI, universidades y gobiernos en América Latina, Medio Oriente y el Sudeste Asiático.
Los objetivos de Jackpot Panda suelen estar ubicados en el este y sudeste de Asia, y sus ataques tienen como objetivo recopilar inteligencia sobre corrupción y seguridad nacional.
PoC ahora disponibles
Lachlan Davidson, el investigador que descubrió e informó sobre React2Shell, advirtió sobre exploits falsos que circulan en línea. Sin embargo, los exploits confirmados como válidos por el investigador de Rapid7 Esteban menos y Elastic Security Joe De Simone han aparecido en GitHub.
Los ataques que AWS observó aprovechan una combinación de exploits públicos, incluidos los rotos, junto con pruebas manuales iterativas y resolución de problemas en tiempo real en entornos específicos.
La actividad observada incluye intentos repetidos con diferentes cargas útiles, ejecución de comandos de Linux (whoami, identificación), intenta crear archivos (/tmp/pwned.txt), e intenta leer '/etc/contraseña/.'
«Este comportamiento demuestra que los actores de amenazas no sólo ejecutan análisis automatizados, sino que depuran y refinan activamente sus técnicas de explotación contra objetivos reales», comentan los investigadores de AWS.
La plataforma de gestión de superficie de ataque (ASM) Assetnote ha lanzado un Escáner React2Shell en GitHub que se puede utilizar para determinar si un entorno es vulnerable a React2Shell.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
