Một lỗ hổng CVE nghiêm trọng cho phép thực thi mã từ xa (remote code execution – RCE) mà không cần xác thực, được gọi là “React2Shell”, đang bị khai thác tích cực trong thực tế, đe dọa hàng triệu dịch vụ web. Lỗ hổng này có mã định danh CVE-2025-55182, được React công bố vào ngày 3 tháng 12, với điểm CVSS tối đa là 10.0, cho thấy mức độ nghiêm trọng cực kỳ cao.

Tổng quan về lỗ hổng CVE React2Shell (CVE-2025-55182)

Lỗ hổng CVE-2025-55182 bắt nguồn từ vấn đề khử tuần tự hóa không an toàn (insecure deserialization) bên trong giao thức “Flight” được sử dụng bởi các React Server Components. Giao thức Flight được thiết kế để truyền dữ liệu và logic giữa máy chủ và máy khách trong các ứng dụng React, nhưng việc triển khai không an toàn đã tạo ra một khe hở bảo mật nghiêm trọng.

Kẻ tấn công có thể thực thi mã tùy ý trên các máy chủ dễ bị tổn thương bằng cách gửi các yêu cầu HTTP được chế tạo đặc biệt đến các Server Function endpoint. Điều đáng lo ngại là quá trình này không yêu cầu bất kỳ hình thức xác thực nào, cho phép các tác nhân đe dọa chiếm toàn quyền kiểm soát các hệ thống bị ảnh hưởng thông qua remote code execution.

Cơ chế khai thác và Tác động

Cơ chế khai thác lợi dụng lỗ hổng khử tuần tự hóa để chèn và thực thi mã độc. Khi một máy chủ React Server Component xử lý một yêu cầu HTTP độc hại, nó sẽ giải mã dữ liệu không an toàn, dẫn đến việc thực thi các lệnh tùy ý được nhúng trong yêu cầu đó.

Tác động chính của cuộc tấn công này là chiếm quyền điều khiển hoàn toàn hệ thống. Sau khi có được quyền truy cập ban đầu, các tác nhân đe dọa thường triển khai các web shell và cửa hậu (backdoors) để duy trì quyền truy cập và mở rộng phạm vi xâm nhập vào mạng nội bộ.

Hoạt động khai thác thực tế và quy mô ảnh hưởng

Các nhà nghiên cứu từ Amazon Web Services đã báo cáo rằng các tác nhân đe dọa tiên tiến, bao gồm Earth Lamia và Jackpot Panda, đã bắt đầu khai thác lỗ hổng CVE này chỉ trong vòng 24 giờ sau khi nó được công bố rộng rãi. Các mục tiêu chính là các ứng dụng được lưu trữ trên nền tảng đám mây và sử dụng React Server Components.

Tính đến ngày 5 tháng 12, CISA đã bổ sung CVE-2025-55182 vào Danh mục các Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities Catalog – KEV). Điều này nhấn mạnh mức độ nghiêm trọng và tình trạng khai thác tích cực của lỗ hổng này trong thực tế. Danh mục KEV của CISA là nguồn tham khảo quan trọng cho các tổ chức để ưu tiên vá lỗi.

GreyNoise cũng đã ghi nhận các nỗ lực khai thác cơ hội nhắm vào các honeypot của họ, cho thấy hoạt động quét và khai thác rộng rãi trên Internet. Đây là dấu hiệu rõ ràng về sự phổ biến của các cuộc tấn công nhắm vào lỗ hổng CVE này.

Theo Censys, ước tính có khoảng 2,15 triệu dịch vụ web hướng ra Internet có thể bị ảnh hưởng bởi lỗ hổng này. Con số này bao gồm các dịch vụ đang chạy React Server Components và các framework bị ảnh hưởng như Next.js, Waku, React Router và RedwoodSDK. Mặc dù con số này phản ánh mức độ phơi nhiễm phần mềm chứ không phải là phiên bản đã được xác nhận là dễ bị tổn thương, nhưng quy mô tác động tiềm năng là rất đáng kể do sự phổ biến của các framework này.

Để biết thêm chi tiết về lỗ hổng, bạn có thể tham khảo tại NVD (National Vulnerability Database).

Các phiên bản và Framework bị ảnh hưởng

Lỗ hổng CVE-2025-55182 ảnh hưởng đến các gói React Server Components cụ thể, bao gồm:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

Các phiên bản bị ảnh hưởng của các gói này là từ 19.0.0 đến 19.2.0.

Nhiều framework phổ biến phụ thuộc vào các gói này và do đó cũng bị ảnh hưởng. Các framework này bao gồm:

• Next.js: Các phiên bản từ 14.3.0-canary.77 trở lên khi sử dụng App Router.
• React Router RSC preview
• Waku
• Vite RSC Plugin
• Parcel RSC Plugin
• RedwoodSDK

Trường hợp không bị ảnh hưởng

Các ứng dụng React chỉ chạy phía client (pure client-side React applications) và không sử dụng các server-side components không bị ảnh hưởng bởi lỗ hổng CVE này. Tuy nhiên, các ứng dụng triển khai React Server Components vẫn dễ bị tổn thương ngay cả khi chúng không sử dụng rõ ràng các Server Function endpoints, do bản chất của vấn đề khử tuần tự hóa không an toàn.

Giải pháp khắc phục và khuyến nghị bảo mật

Các phiên bản đã sửa lỗi hiện đã có sẵn. Các tổ chức nên thực hiện cập nhật ngay lập tức để bảo vệ hệ thống khỏi các cuộc tấn công remote code execution.

Cập nhật cho React

Người dùng React Server Components nên cập nhật ngay lên một trong các phiên bản sau:

• React 19.0.1
• React 19.1.2
• React 19.2.1

Cập nhật cho Next.js

Người dùng Next.js nên nâng cấp lên các phiên bản tương ứng dựa trên phiên bản hiện tại của họ:

• Next.js 15.0.5
• Next.js 15.1.9
• Next.js 15.2.6
• Next.js 15.3.6
• Next.js 15.4.8
• Next.js 15.5.7
• Next.js 16.0.7

Các biện pháp phòng ngừa khác

Mặc dù các nhà cung cấp WAF (Web Application Firewall) như Cloudflare và AWS đã triển khai các bộ quy tắc bảo vệ, nhưng một số mã khai thác PoC (proof-of-concept) đã chứng minh các kỹ thuật bỏ qua (bypass techniques). Do đó, việc áp dụng bản vá bảo mật vẫn là chiến lược giảm thiểu đáng tin cậy nhất và hiệu quả nhất.

Với tình trạng khai thác tích cực, điểm nghiêm trọng tối đa và mức độ sử dụng rộng rãi của các framework bị ảnh hưởng, các tổ chức đang chạy React Server Components nên coi đây là một ưu tiên vá lỗi khẩn cấp để đảm bảo an toàn thông tin và ngăn chặn các cuộc tấn công remote code execution.