Kritisk Sårbarhet i React Server Components
En kritisk sårbarhet för fjärrkodexekvering (RCE) i React Server Components utnyttjas för att kapa servrar, tömma kryptovaluta-plånböcker, installera Monero-gruvprogram och fördjupa en stöldvåg på 3 miljarder dollar under 2025, trots brådskande patch-begärningar. Denna säkerhetsbrist har lett till akuta varningar inom kryptovalutaindustrin, då hotaktörer utnyttjar felet för att stjäla medel och distribuera skadlig programvara, enligt Security Alliance.
Utnyttjande av Sårbarheten
Organisationen meddelade att kryptotömmare aktivt utnyttjar CVE-2025-55182 och uppmanar alla webbplatser att omedelbart granska sin front-end-kod för misstänkta aktiviteter. Sårbarheten påverkar inte bara Web3-protokoll utan alla webbplatser som använder React, där angripare riktar in sig på tillståndssignaturer över plattformar. Användare riskerar att deras plånboks kommunikation avlyssnas och medel omdirigeras till angriparens kontrollerade adresser när de signerar transaktioner, enligt säkerhetsforskare.
Detaljer om Sårbarheten
Reacts officiella team avslöjade CVE-2025-55182 den 3 december och bedömde den till CVSS 10.0 efter en rapport av Lachlan Davidson den 29 november genom Meta Bug Bounty. Den icke-autentiserade sårbarheten utnyttjar hur React avkodar nyttolaster som skickas till Server Function-endpunkter, vilket gör att angripare kan skapa skadliga HTTP-förfrågningar som exekverar godtycklig kod på servrar. Felet påverkar React-versioner 19.0, 19.1.0, 19.1.1 och 19.2.0 över paketen react-server-dom-webpack, react-server-dom-parcel och react-server-dom-turbopack.
Rekommenderade Åtgärder
Stora ramverk, inklusive Next.js, React Router, Waku och Expo, kräver omedelbara uppdateringar, enligt rådgivningen. Patcher har släppts i versionerna 19.0.1, 19.1.2 och 19.2.1, där Next.js-användare behöver uppgradera över flera versionslinjer från 14.2.35 till 16.0.10, enligt versionsanteckningarna.
Följder av Sårbarheten
Forskare har funnit två nya sårbarheter i React Server Components medan de försökte utnyttja patcherna, enligt rapporter. Dessa är nya problem, separata från den kritiska CVE. Patchen för React2Shell förblir effektiv mot fjärrkodexekveringsutnyttjandet, uppgav forskarna.
”Vercel har implementerat regler för Web Application Firewall (WAF) för att automatiskt skydda projekt på sin plattform, även om företaget betonade att WAF-skyddet ensamt är otillräckligt.”
Omedelbara uppgraderingar till en patchad version krävs, enligt Vercels säkerhetsbulletin den 3 december, som tillade att sårbarheten påverkar applikationer som bearbetar osäker indata på sätt som tillåter fjärrkodexekvering.
Angrepp och Ekonomiska Konsekvenser
Google Threat Intelligence Group dokumenterade omfattande attacker som började den 3 december och spårade kriminella grupper som sträcker sig från opportunistiska hackare till statligt stödda operationer. Kinesiska hackargrupper installerade olika typer av skadlig programvara på komprometterade system, främst riktade mot molnservrar på Amazon Web Services och Alibaba Cloud.
Dessa angripare använde tekniker för att upprätthålla långsiktig åtkomst till offer-system, enligt Google Threat Intelligence Group. Vissa grupper installerade programvara som skapade fjärråtkomsttunnlar, medan andra distribuerade program som kontinuerligt laddade ner ytterligare skadliga verktyg som var maskerade som legitima filer.
Sammanfattning av Risker
Ekonomiskt motiverade brottslingar anslöt sig till attackvågen som började den 5 december och installerade kryptovaluta-gruvprogram som använder offrens datorkraft för att generera Monero. Dessa gruvmaskiner körs konstant i bakgrunden, vilket driver upp elpriserna samtidigt som de genererar vinster för angriparna.
Global Ledger-data visar att hackare stulit över 3 miljarder dollar över 119 incidenter under första halvan av 2025, där 70 % av intrången involverade medel som flyttades innan de blev offentliga. Endast 4,2 % av de stulna tillgångarna återfanns, eftersom tvätt nu tar sekunder istället för timmar.
Rekommendationer för Användare
Organisationer som använder React eller Next.js rekommenderas att omedelbart patcha till versioner 19.0.1, 19.1.2 eller 19.2.1, implementera WAF-regler, granska alla beroenden, övervaka nätverkstrafik för wget- eller cURL-kommandon som initieras av webbserverprocesser och leta efter obehöriga dolda kataloger eller skadliga shellkonfigurationsinjektioner, enligt säkerhetsrådgivningar.
