Naliehavé bezpečnostné upozornenie BitDefender– kritická zraniteľnosť RCE v React (CVE-2025-55182)

Radi by sme vás informovali o kritickej chybe v ekosystéme React, označenej ako React2Shell (CVE-2025-55182), ktorá bola ohodnotená maximálnym skóre CVSS 10,0. Táto chyba umožňuje neautentizované vzdialené spustenie kódu (RCE), čo predstavuje vážne riziko pre organizácie po celom svete. Vzhľadom na vysokú pravdepodobnosť rýchleho zneužitia útočníkmi by sa mali okamžite implementovať potrebné bezpečnostné opatrenia.

Kľúčové informácie:
• Zraniteľnosť bola zverejnená 3. decembra 2025 a umožňuje vzdialené vykonávanie kódu na zraniteľných serveroch bez overenia.
• Pôvodný problém vznikol v logike protokolu React „Flight“, ale ovplyvňuje aj iné rámce a balíky, najmä Next.js a Vite.
• Hodnotenie rizika je porovnateľné s incidentom Log4j (2021).
• Očakávame, že skupiny Ransomware-as-a-Service (RaaS) a Initial Access Brokers (IAB) túto zraniteľnosť rýchlo zneužijú.

Odporúčané okamžité opatrenia:
• Zmiernenie rizika: Okamžite opravte postihnuté systémy alebo zablokujte prevádzku.
• Monitorovanie: Pozorne sledujte laterálny pohyb pochádzajúci z DMZ.
• Dohľad: Buďte ostražití voči zverejneným indikátorom kompromitácie (IOC).