Aanvallers maken misbruik van een kritieke kwetsbaarheid in React Server Components, ook bekend als React2Shell en CVE-2025-55182, zo stellen Microsoft en Google in analyses.Daarbij spreekt Google zelfs over grootschalig misbruik. Volgens The Shadowserver Foundation zijn er nog ruim 111.000 ip-adressen en honderdduizenden domeinen met kwetsbare code.

React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. CVE-2025-55182 bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen.

Google stelt dat aanvallers via het React2Shell-lek backdoors en cryptominers installeren. De waargenomen aanvallen zouden zowel financieel gemotiveerd zijn als spionage als doel hebben. Microsoft voegt toe dat de aanvallers ook inloggegevens proberen te stelen, onder andere voor Azure Instance Metadata Service (IMDS) endpoints for Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) en Tencent Cloud. Vervolgens wordt geprobeerd om identity tokens te stelen waarmee de aanvallers zich naar andere cloudbronnen kunnen bewegen.

Microsoft stelt verder dat het het tienduizenden apparaten in duizenden organisaties ziet die React of React-gebaseerde applicaties draaien. The Shadowserver Foundation voerde een online scan naar kwetsbare systemen uit en registreerde gisteren meer dan 111.000 kwetsbare ip-adressen. Daarvan bevinden zich er zo'n elfhonderd in Nederland. De stichting zegt informatie over de ip-adressen met nationale cyberagentschappen en aangesloten organisaties te delen.