Anderson LimaSenior Software Engineer & Content Creator
#nextjs#react#react server components#react2shell#cve-2025-55182#javascript#typescript#segurança#appsec#devsecops#nodejs#inteligência artificial#ia#cloud#fullstack
React2Shell, Next.js e React Server Components: a vulnerabilidade que inaugura a era dos exploits acelerados por IA
Como a CVE-2025-55182 expôs um novo modelo de risco em apps fullstack e o impacto da IA na criação e exploração de vulnerabilidades
From the store
Templates to accelerate your project
Curated resources to complement your reading
Free
Boilerplate ReactJS Tests
Template de React focado em testes automatizados. Seus recursos incluem Vite, react‑toastify, Zustand, React Query, serviço base para requisições, mocks com MirageJS, testes unitários e de cobertura com Vitest, testes E2E com Playwright, suporte a PWA, TypeScript e Tailwind. A documentação descreve uma suíte de testes cobrindo fluxos de login, chat, perfil, configurações e funcionalidades de comunidade
reactadvanced
Free
React cupertino UI
Monorepo que pretende disponibilizar uma biblioteca de componentes React com design “Liquid Glass” do iOS 26 e mais de 100 componentes acessíveis, escritos em TypeScript. Como o README ainda é básico, você pode oferecer uma versão de pré‑visualização gratuita e direcionar interessados para a futura versão completa.
reactadvanced
R$ 297,00
Popular
IgnitionStack
Lemon Boilerplate is a modern and scalable foundation built with Next.js, TypeScript, and TailwindCSS, designed to accelerate the creation of SaaS and MicroSaaS products. It powers LinkMosaic.space, a professional bio link and portfolio platform with a clean, minimal design and high performance. The architecture follows Clean Code principles, offering built-in authentication with NextAuth and Google OAuth2, global state management with Zustand, and full support for Stripe payments and AI APIs such as OpenAI. Ready for deployment on Vercel, it includes SEO optimization, PWA support, multilingual setup, and a responsive UI built with Shadcn/UI. Lemon Boilerplate helps developers focus on building their product instead of setup, delivering a production-ready SaaS with performance, security, and scalability from day one. Perfect for startups, MVPs, and developers launching their next big idea.
nextjsadvanced
R$ 447,00
Popular
LuminALL Boilerplate – Multi-Tenant AI SaaS Starter Kit
Build and scale your next SaaS faster with LuminALL Boilerplate, a production-ready full-stack template designed for performance, modularity, and AI integration. Crafted with React + TypeScript + Firebase, it follows Atomic Design principles, supports multi-tenant architecture, and includes theme toggling (Light, Dark, Tea). It’s PWA-optimized, comes with MirageJS mocks, and features over 10 ready-made screens (tasks, roadmap, user list, profile, analytics, and more). AI chat is powered by Gemini with seamless extensibility to other LLMs. Perfect for developers, startups, and agencies who want a scalable foundation that looks stunning and feels native on every device.
reactadvanced
R$ 147,00
SaaS Landing Page
Lemon Boilerplate is a modern and scalable foundation built with Next.js, TypeScript, and TailwindCSS, designed to accelerate the creation of SaaS and MicroSaaS products. It powers LinkMosaic.space, a professional bio link and portfolio platform with a clean, minimal design and high performance. The architecture follows Clean Code principles, offering built-in authentication with NextAuth and Google OAuth2, global state management with Zustand, and full support for Stripe payments and AI APIs such as OpenAI. Ready for deployment on Vercel, it includes SEO optimization, PWA support, multilingual setup, and a responsive UI built with Shadcn/UI. Lemon Boilerplate helps developers focus on building their product instead of setup, delivering a production-ready SaaS with performance, security, and scalability from day one. Perfect for startups, MVPs, and developers launching their next big idea.
nextjsintermediate
View all in store6+ templates
View all in store
React2Shell, Next.js e React Server Components: A Vulnerabilidade que Inaugura a Era dos Exploits Acelerados por IA
[!URGENT] Leitura Obrigatória para Produção: Se você tem qualquer aplicação em Next.js 15/16 ou React 19 usando React Server Components (RSC) em produção, leia este documento antes do próximo deploy.
Nos últimos dias foi divulgada uma vulnerabilidade crítica — CVE-2025-55182, apelidada de React2Shell — que permite execução remota de código (RCE) não autenticada em servidores que usam React Server Components e frameworks como Next.js.
[!CAUTION] Situação Atual: Exploit público já existe, ataques reais já começaram e parte desses PoCs foram claramente gerados com ajuda de IA.
1. O que é a vulnerabilidade React2Shell (CVE-2025-55182)?
Em 3 de dezembro de 2025, o time do React publicou o post "Critical Security Vulnerability in React Server Components", divulgando um bug com CVSS 10.0 (nota máxima) em React Server Components.
O Bug
- Afeta o protocolo Flight usado por React Server Components.
- Permite que um atacante envie um HTTP request especialmente construído para um endpoint de Server Functions / RSC.
- Ao explorar a forma como o payload é desserializado de forma insegura, consegue executar código arbitrário no servidor.
Versões Afetadas
A vulnerabilidade está presente nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos pacotes:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
Correções (Fixes)
Os fixes foram lançados em:
- 19.0.1
- 19.1.2
- 19.2.1
[!WARNING] Se seu app usa React 19 + RSC e está em uma dessas versões vulneráveis, você está diretamente na linha de fogo.
2. E onde entra o Next.js nisso?
O Next.js implementa React Server Components via App Router — e por isso herdou o problema. A vulnerabilidade foi rastreada como CVE-2025-66478 no ecossistema Next.js (depois marcada como duplicada de CVE-2025-55182).
Apps Vulneráveis
De acordo com o advisory oficial do Next.js, estão vulneráveis apps que usam App Router + RSC nas versões:
- Next.js 15.x
- Next.js 16.x
- Next.js 14.3.0-canary.77 e canaries posteriores
Apps NÃO Afetados
- Next.js 13.x
- Next.js 14.x estável
- Apps usando apenas Pages Router
- Edge Runtime
Versões Corrigidas
As versões corrigidas incluem (entre outras):
next@15.0.5,15.1.9,15.2.6,15.3.6,15.4.8,15.5.7next@16.0.7- Canaries corrigidos:
15.6.0-canary.58,16.1.0-canary.12
[!NOTE] O próprio React e a Wiz destacam que até um app padrão criado com
create-next-app, sem nenhuma lógica extra, pode ser explorado em configurações vulneráveis.
3. Como o ataque funciona
Resumo Técnico: A falha é classificada como insecure deserialization / server-side prototype pollution no contexto do protocolo Flight.
- Um atacante envia um payload que "polui" o prototype de objetos no servidor.
- Isso faz com que chamadas internas acabem executando funções perigosas, como
child_process.execSync().
Capacidades Demonstradas em PoCs
Em PoCs divulgados, o exploit consegue:
- Escrever arquivos no
/tmp. - Ler
.enve outras credenciais sensíveis. - Rodar comandos como
id,whoami,curl,wget, baixar scripts externos, instalar cryptominers, etc.
[!DANGER] A Datadog demonstra um PoC capaz de comprometer até um Next.js "em branco" (gerado por
create-next-app) com um único request HTTP customizado.
4. A situação real: exploits já estão rodando em produção
Isso não é mais uma vulnerabilidade "teórica".
- Wiz: Registrou que 39% dos ambientes de cloud analisados têm instâncias vulneráveis de React/Next.js, e 44% possuem apps Next.js expostos publicamente.
- Exploração Ativa: Wiz, Datadog, AWS, Google Cloud confirmar exploração ativa (mineradores, roubo de credenciais, C2).
- Atores de Ameaça: A AWS reportou que grupos como Earth Lamia e Jackpot Panda começaram a explorar a falha horas depois da divulgação.
5. Onde a IA entra na história
Este caso destaca uma tendência preocupante para segurança:
- PoCs gerados por IA: Logo após o anúncio, surgiram diversos PoCs no GitHub, alguns gerados por IA (funcionais ou não), servindo de base para forks.
- Ataques em "modo volume": Atores rodando centenas de payloads diferentes (muitos gerados por IA) em massa.
- Baixa barreira de entrada: IA permite gerar payloads alternativos e scripts de varredura rapidamente.
- Ciclo de feedback rapidíssimo: O atacante usa IA para ajustar payloads com base nos logs de erro em segundos.
- Defensores defasados: O lado ofensivo está mais rápido em adotar IA do que o defensivo.
6. "Estou usando Next.js / React 19. Estou vulnerável?"
6.1. Verifique versões de React Server Components
Execute no terminal:
bash
npm ls react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack
Se aparecer alguma dessas versões, você está potencialmente vulnerável:
19.0,19.1.0,19.1.1,19.2.0
6.2. Verifique versão do Next.js
bash
npm ls next react react-dom
Se o Next.js estiver em:
14.3.0-canary.77ou canaries posteriores- Qualquer
15.x - Qualquer
16.x - E usando App Router + RSC -> ** ALERTA VERMELHO **
6.3. Use auditoria automatizada
bash
npm audit --audit-level=critical
# ou
npm audit report
7. O que fazer agora (Prioridades)
7.1. Patch Imediato
- Atualize React para
react@19.2.1(ou mais recente). - Atualize Next.js para uma das versões corrigidas (
next@15.0.5,15.1.9, etc.).
Helper Oficial do Next.js:
bash
npx fix-react2shell-next
7.2. Mitigação via WAF / Cloud
- Google Cloud Armor: Regra
cve-canary. - AWS WAF: Regras no
AWSManagedRulesKnownBadInputsRuleSet(v1.24+).
[!IMPORTANT] WAF não substitui patch — é apenas mitigação temporária.
7.3. Hunting e Detecção em Logs
Busque por:
- Headers:
Next-Action,next-action,rsc-action-id. - Payloads contendo:
"status":"resolved_model",__proto__,constructor,child_process. - Arquivos estranhos em
/tmpou execução dewhoami,curl, etc. pelo processo Node.
7.4. Pós-Exploit (Em caso de suspeita)
- Isolar instâncias.
- Revogar e rotacionar TODAS as credenciais (.env, tokens, keys).
- Rebuild de imagens com versões corrigidas.
8. Tendência: Por que isso vai ficar mais comum?
A combinação de frameworks complexos + uso intensivo de server-side JS + IA cria o cenário perfeito:
- Complexidade crescente de frameworks full-stack.
- Descoberta de vulnerabilidades assistida por IA.
- Geração massiva de PoCs (bons e ruins).
- Ferramentas ofensivas "no-code".
9. Como usar IA a seu favor
- Gerar scripts de hunting (KQL, SQL, Loki) a partir de advisories.
- Revisar
package.jsonepnpm-lock.yaml. - Resumir advisories longos em runbooks.
- Automatizar alertas de CVEs no CI.
10. Checklist Rápido para o Notion
- Meu projeto usa React 19 com RSC?
- Meu projeto usa Next.js 15.x / 16.x / 14.3.0-canary.77+ com App Router?
- Executei
npm ls react-server-dom-*enpm ls next? - Atualizei para
react@19.2.1+enext@15.0.5+? - (Opcional) Configurei regras de WAF para CVE-2025-55182?
- Revisei logs buscando headers e payloads suspeitos?
- Tenho um plano de resposta a incidentes?
11. Referências
- React Team: "Critical Security Vulnerability in React Server Components"
- NVD (NIST): CVE-2025-55182
- Vercel / Next.js: "Security Advisory: CVE-2025-66478"
- Wiz Research: "Critical Vulnerabilities in React and Next.js"
- Datadog Security Labs: Análise técnica e PoCs
- AWS Security Blog: Telemetria de exploração real
Anderson Lima
Senior Software Engineer & Content Creator
Anderson Lima é Senior Software Engineer com mais de 10 anos de experiência em front-end, mobile e back-end, atuando com React, Next.js, TypeScript, Node.js e arquitetura moderna em escala. Além do trabalho em grandes empresas de tecnologia, compartilha conteúdos sobre carreira, código, segurança e inteligência artificial para ajudar outros devs a construírem produtos melhores e acelerarem sua evolução profissional.
Free resource
Code Review Pre-Production Checklist
47-point checklist to catch bugs, security risks, and performance issues before launch.
Related Articles
Continue exploring similar topics
Featured
#inteligencia-artificial#desenvolvimento-web#react
Claude Code vs Codex vs Gemini: quem venceu a batalha dos agentes de IA para desenvolvedores
Nos últimos meses, os agentes de Inteligência Artificial deixaram de ser apenas copilotos de código e passaram a agir como verdadeiros engenheiros virtuais. Ferramentas como Claude Code, Codex CLI e Gemini CLI estão mudando completamente a forma como desenvolvedores escrevem, testam e otimizam código.
6 min read
851
0
#frontend#engenharia#javascript
Da Teoria à Produção: Dominando a Engenharia Front-end
Um guia aprofundado sobre como a Fase 1 do Pos Tech FIAP forma engenheiros(as) front-end completos, unindo JavaScript avançado, TypeScript robusto, Design Systems, Next.js e fundamentos de arquitetura, performance e memória — da teoria à aplicação em produção.
5 min read
622
0
Featured
#javascript#react#typescript
Os Melhores Frameworks de UI em 2025: Tailwind CSS, Shadcn/UI, Material UI e mais
Descubra quais são os frameworks de UI mais usados em 2025 — incluindo Tailwind CSS, Shadcn/UI, Material UI e outros — e entenda por que o CSS estático está substituindo o styled-components na era moderna do React.
4 min read
499
0
Lemon.dev Store
Turn what you learned into shipped code
Production-tested templates trusted by developers. Save weeks of setup on your next project.
On-demand services
Stop guessing. Get senior technical guidance on demand.
Modular packages for founders and engineering leads. Every engagement includes diagnosis, documentation, and direct access.
2 advisory slots for Q2
