L'exploitation de React2Shell se répand rapidement

Une vulnérabilité d'exécution de code à distance (RCE) dans la bibliothèque JavaScript React, a provoqué, en fin de semaine dernière, des perturbations sur Internet alors que Cloudflare mettait en place des mesures d'atténuation sur son réseau. Elle est désormais exploitée par de multiples acteurs malveillants à grande échelle.

Maintenu par Meta, React est une ressource open source conçue pour permettre aux développeurs de construire des interfaces utilisateurs (IU) pour des applications natives et web.

La vulnérabilité en question, référencée CVE-2025-55182 et surnommée React2Shell par la communauté de la cybersécurité, est de type RCE - son exploitation réussie permet de forcer l'exécution de code arbitraire à distance sur les systèmes affectés - ne nécessitant pas d'authentification réussie préalable. Elle concerne les versions 19.0.0, 19.1.0, 19.1.1, et 19.2.0 des composants serveur de React. Elle trouve son origine dans la manière dont ces composants décodent les charges utiles envoyées aux points de terminaison React Function Endpoints.

Cela signifie qu'en élaborant une requête HTTP malveillante vers un point de terminaison de la fonction serveur, un acteur de malveillant pourrait obtenir la capacité d'exécuter un code arbitraire sur le serveur cible.

Cette vulnérabilité a été ajoutée à la liste de celles connues pour être activement exploitées de l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) le vendredi 5 décembre. Selon C.J. Moses, CISO et vice-président de l'ingénierie de sécurité d'Amazon Web Services (AWS), les principaux responsables de cette exploitation rapide seraient des acteurs malveillants liés à Pékin.

Selon C.J. Moses, l'habitude de la Chine d'exploiter une infrastructure d'anonymisation partagée à grande échelle pour de multiples acteurs malveillants soutenus par l'État rend difficile une attribution plus précise. Toutefois, à la suite de la divulgation du mercredi 3 décembre, des groupes suivis sous les noms de Earth Lamia et Jackpot Panda ont été observés en train de tirer parti de React2Shell.

"La Chine reste la source la plus prolifique de cybermenaces soutenues par l'État, les acteurs malveillant mettant régulièrement en œuvre des exploits publics dans les heures ou les jours qui suivent leur divulgation", relève-t-il. Et d'expliquer que, "grâce à la surveillance de notre infrastructure de honeypots AWS MadPot, les équipes de renseignements sur les menaces d'Amazon ont identifié des groupes connus et des groupes malveillants non suivies auparavant qui tentent d'exploiter CVE-2025-55182".

Earth Lamia est connu pour exploiter les vulnérabilités des applications web contre des organisations situées principalement en Amérique latine, au Moyen-Orient et en Asie du Sud-Est, avec une attention particulière pour les établissements d'enseignement, les organisations de services financiers, les organismes gouvernementaux, les sociétés informatiques, les entreprises de logistique et les détaillants.

Selon AWS, Jackpot Panda concentre ses activités sur des entités d'Asie de l'Est et du Sud-Est, ses opérations s'alignant sur les objectifs de la Chine en matière de corruption et de sécurité intérieure.

Selon Palo Alto Networks, il pourrait y avoir plus de 950 000 serveurs utilisant des frameworks vulnérables tels que React et Next.js. Tous deux très utilisés grâce à leur efficacité et leur flexibilité, assortis d'écosystèmes robustes qui en font un choix par défaut pour de nombreux développeurs.

Les démonstrateurs d'exploitation de la CVE-2025-55182 se sont multipliés au cours des derniers jours, au point qu'il en existe un sous la forme d'une simple extension pour Google Chrome.