Une vulnérabilité critique dans les composants du serveur React est activement exploitée par plusieurs groupes de menaces, mettant des milliers de sites Web – y compris des plateformes de cryptographie – en danger immédiat, les utilisateurs pouvant voir tous leurs actifs s’épuiser s’ils sont touchés.
La faille, suivie comme CVE-2025-55182 et surnommée Réagir2Shellpermet aux attaquants d’exécuter du code à distance sur les serveurs concernés sans authentification. Les responsables de React ont révélé le problème le 3 décembre et lui ont attribué le score de gravité le plus élevé possible.
Peu de temps après la divulgation, GTIG a observé une exploitation généralisée par des criminels motivés par des raisons financières et par des groupes de piratage présumés soutenus par l’État, ciblant les applications React et Next.js non corrigées dans les environnements cloud.
Chargement…
Ce que fait la vulnérabilité
Les composants React Server sont utilisés pour exécuter des parties d’une application Web directement sur un serveur plutôt que dans le navigateur d’un utilisateur. La vulnérabilité provient de la façon dont React décode les requêtes entrantes adressées à ces fonctions côté serveur.
En termes simples, les attaquants peuvent envoyer une requête Web spécialement conçue pour inciter le serveur à exécuter des commandes arbitraires ou à confier le contrôle du système à l’attaquant.
Le bug affecte les versions 19.0 à 19.2.0 de React, y compris les packages utilisés par les frameworks populaires tels que Next.js. Le simple fait d’avoir installé les packages vulnérables suffit souvent à permettre l’exploitation.
Comment les attaquants l’utilisent
Le Google Threat Intelligence Group (GTIG) a documenté plusieurs campagnes actives utilisant la faille pour déployer des logiciels malveillants, des portes dérobées et des logiciels de crypto-minage.
Certains attaquants ont commencé à exploiter la faille quelques jours après sa divulgation pour installer le logiciel de minage Monero. Ces attaques consomment discrètement les ressources du serveur et l’électricité, générant des profits pour les attaquants tout en dégradant les performances du système pour les victimes.
Les plates-formes cryptographiques s’appuient fortement sur des frameworks JavaScript modernes tels que React et Next.js, gérant souvent les interactions avec les portefeuilles, la signature des transactions et les approbations d’autorisation via le code frontal.
Si un site Web est compromis, les attaquants peuvent injecter des scripts malveillants qui interceptent les interactions du portefeuille ou redirigent les transactions vers leur propre portefeuille, même si le protocole blockchain sous-jacent reste sécurisé.
Cela rend les vulnérabilités frontales particulièrement dangereuses pour les utilisateurs qui signent des transactions via les portefeuilles du navigateur.