'Tienduizenden ip-adressen kwetsbaar door React2Shell-lek'
Tienduizenden ip-adressen wereldwijd zijn kwetsbaar voor een kritiek beveiligingslek in React Server Components, ook wel bekend als CVE-2025-55182 en React2Shell, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat het om ruim vijfhonderd ip-adressen. Daarnaast zouden inmiddels tientallen organisaties wereldwijd zijn gecompromitteerd, aldus securitybedrijven.
React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. CVE-2025-55182 bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen.
Door het versturen van speciaal geprepareerde HTTP requests naar een kwetsbare React-versie kan een aanvaller code op de onderliggende server uitvoeren. Vorige week werd de kwetsbaarheid bekendgemaakt en beveiligingsupdates beschikbaar gesteld. Ook is er inmiddels proof-of-concept exploitcode online verschenen. The Shadowserver Foundation doet onderzoek naar kwetsbare systemen op internet en detecteerde op 5 december ruim 77.000 kwetsbare ip-adressen. Dat aantal is inmiddels gedaald naar 29.000, waarvan meer dan vijfhonderd in Nederland. De Verenigde Staten is met tienduizend kwetsbare ip-adressen koploper.
Securitybedrijven Palo Alto Networks en Wiz laten weten dat inmiddels meerdere organisaties via de kwetsbaarheid zijn gecompromitteerd. Het zou om enkele tientallen slachtoffers gaan. Eerder had Amazon al laten weten dat het een aantal uren na bekendmaking van de kwetsbaarheid de eerste aanvalspogingen had waargenomen.
"Helaas, kunnen wij als NCSC niet uitsluiten dat jouw organisatie al getroffen is. De kwetsbaarheid is immers al minstens twee dagen misbruikt. Kortom, volg het handelingsperspectief zo spoedig mogelijk op en contacteer ons als je sporen van misbruik aantreft", zo laat het Nationaal Cyber Security Centrum (NCSC) weten in een update op een eerder uitgebrachte blogpost over het probleem.
De NCSC heeft blijkbaar een tikfout gemaakt in hun publicatie. Het is wel schrikbarend om te zien hoeveel sites deze tikfout gewoon overschrijven zonder de bron van deze CVE te controleren. Die CVE bestaat nml niet.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?