"Apliquem o patch agora": vulnerabilidade de gravidade máxima no React ameaça 39% dos ambientes de nuvem — especialistas alertam

Especialistas em segurança e engenheiros de software estão em estado de alerta após a divulgação de uma vulnerabilidade de gravidade máxima (pontuação 10/10) no React Server, um pacote de código aberto amplamente utilizado em aplicativos web e ambientes de nuvem. A falha é considerada de fácil exploração e permite que hackers executem código malicioso remotamente em servidores que a utilizam.

O alerta veio após a divulgação do código de exploração em redes sociais e em relatórios de empresas de segurança como Wiz e Aikido. A vulnerabilidade, rastreada como CVE-2025-55182, é crítica porque o React é incorporado por cerca de 6% de todos os sites e é crucial para o desempenho de 39% dos ambientes de nuvem, onde sua exploração pode dar controle total aos atacantes.

Notícias relacionadas

Ucrânia abriu o míssil balístico russo que devastou suas cidades; a surpresa: seu combustível vem da China

As baterias de lítio-enxofre para carros elétricos têm um problema; as fezes humanas podem ser a solução

Não é pensamento lento: estudos estadunidenses detectaram síndrome severa ligada ao consumo de cannabis

Como a falha permite o controle remoto

A vulnerabilidade reside no Flight, um protocolo presente nos componentes de servidor do React, e decorre da desserialização insegura. A desserialização é o processo que converte uma linha de texto ou de código em estruturas de dados compreensíveis pelo sistema.

Segundo a Wiz, o problema é técnico, mas o vetor de ataque é simples:

1. Requisito mínimo: a exploração não requer autenticação e exige apenas uma única requisição HTTP especialmente elaborada para o servidor alvo.
2. Alta fidelidade: a Wiz afirmou que, em seus testes, o código de exploração apresentou uma confiabilidade de "quase 100%".
3. Execução de código: o payload (código malicioso) malformado não é validado corretamente ...

   Veja mais

   Matérias relacionadas

   A França se deparou com um Android inviolável; resultado: o GrapheneOS está deixando o país após ser acusado de ser uma ferramenta criminosa

   Câmera no vaso sanitário? Gadget de IA que custa US$ 600 gera polêmica ao "mentir" sobre quem vê as fotos

   Headset sem fio QCY H2 com áudio imersivo tem R$40 de desconto no Mercado Livre

   R$70 OFF! Fone sem fio Galaxy Buds Core despencam de preço na Amazon hoje

   Táxi robô ignora ação policial e passa como se nada estivesse acontecendo. Saiba o que aconteceu com os passageiros