Aanvallers hebben honderden servers via het React2Shell-lek gehackt om zo allerlei inloggegevens te stelen, dat meldt Cisco in een analyse. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. Eind vorig jaar werd al gemeld dat aanvallers misbruik van het lek maakten, onder andere voor het installeren van backdoors en cryptominers.

React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. Het React2Shell-lek (CVE-2025-55182) bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen.

Bij de aanval waarover Cisco bericht zoeken aanvallers naar kwetsbare webapplicaties die van React Server Components gebruikmaken. Via het React2Shell-lek wordt vervolgens de host gecompromitteerd en allerlei credentials gestolen, zoals database credentials, SSH private keys, AWS credentials, shell command history, Stripe API keys en GitHub tokens. Cisco stelt dat de aanvallers in een periode van een dag 766 hosts wisten te compromitteren, in meerdere regio's en van meerdere providers.

Naast het installeren van de beveiligingsupdate doet Cisco verschillende aanbevelingen, zoals ervoor zorgen dat secrets of server-only omgevingsvariabelen alleen als props aan client-onderdelen worden doorgegeven, het niet hergebruiken van SSH key pairs op verschillende systemen of omgevingen en ervoor zorgen dat applicatie containers geen toegang tot de host SSH agent hebben.