Just in: Watch #React2Shell exploitation unfold over time in the map below (geo of source IPs attempting to exploit CVE-2025-55182).

#GreyNoise #ThreatIntel #CVE202555182 #Nextjs #Cybersecurity

[WelsonJS 프로젝트 관련 공지사항]

WelsonJS 프로젝트의 하위 프로젝트 중 일부가 React(클라이언트 측)를 사용중인 관계로, 프로젝트 내에서 조만간 React2Shell (CVE-2025-55182) 관련 공지를 진행할 예정입니다.

시스템에 직접적으로 영향을 미칠 수 있는 부분(서버 측)에는 어떠한 React 및 NextJS 관련 컴포넌트를 사용 중이지 않아, 이번 취약점에 해당사항이 없다는 것이 제 공식 입장임을 밝힙니다.

다만, 확실히하기 위해 필요한 정보를 곧 정리하여 공지하도록 하겠습니다.

감사합니다.

From CVE disclosure to protection in under 24 hours, a practical example of collaborative security in action.

On 3 December 2025, CVE-2025-55182 (#React2Shell) was published with a CVSS score of 10. Within hours, CrowdSec Security Engines worldwide began detecting exploitation attempts.

By the next day, the network had:
- Identified significant attack activity targeting the vulnerability
- Released a WAF Virtual Patching rule to mitigate the RCE
- Started automatically blocking attacks through community-driven blocklists

Today, more than 12K malicious IPs targeting this CVE have been flagged, with protections continuously updated as new threats emerge.

This demonstrates the value of a global, crowdsourced intrusion detection and prevention network.

If your workloads are exposed to the internet, you can benefit from this rapid, collective response:

👉 To keep your systems protected, deploy the CrowdSec WAF: https://doc.crowdsec.net/docs/next/appsec/intro

👉 And, enable the free React2Shell blocklist to secure your exposed services immediately: https://app.crowdsec.net/blocklists/6936fb6f5f136d434bcbd4af

#CVE #CVE202555182 #cybersecurity

Remote server execution, denial of service vulnerability, and source code leak, whoever works on React Server Components isn't having a great time.

If you haven't already: upgrade asap.

https://www.cve.org/CVERecord?id=CVE-2025-55182
https://www.cve.org/CVERecord?id=CVE-2025-67779
https://www.cve.org/CVERecord?id=CVE-2025-55183

If you just updated React / NextJS for #react2shell , you now get to update again. Two additional vulnerabilities identified in follow-up work were just published: CVE-2025-55183 (DoS), CVE-2025-55184 (Source Code Exposure)

https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components

https://nextjs.org/blog/security-update-2025-12-11

Two more #reactjs things. CVE2025-55183 and 55184

Distinct from #React2Shell but still relevant.

Leaky server functions and DoS in this one

#CTI #Infosec https://blog.cloudflare.com/react2shell-rsc-vulnerabilities-exploitation-threat-brief/

It’s time for another round of updates. Sorry folks, this will be a “deploy on friday” day.

https://vercel.com/kb/bulletin/security-bulletin-cve-2025-55184-and-cve-2025-55183

#React2Shell

🔴 CRITICAL: React Server Components (v19.0.0–19.2.2) hit by unauth'd DoS (CVE-2025-55184/67779) & source leak (CVE-2025-55183). Patch to 19.0.3/1.4/2.3. Audit functions & input! https://radar.offseq.com/threat/new-react-rsc-vulnerabilities-enable-dos-and-sourc-5809e665 #OffSeq #ReactJS #Vuln #AppSec

React Server: Nuovi bug critici portano a DoS e alla divulgazione del codice sorgente

La saga sulla sicurezza dei componenti di React Server continua questa settimana.

Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha portato a React2shell, sono state individuate dai ricercatori due nuove vulnerabilità. Queste ultime, pur essendo meno gravi delle precedenti, comportano rischi significativi, tra cui la possibilità di attacchi Denial of Service (DoS) che possono causare il crash del server e l’esposizione di codice sorgente sensibile.

Le versioni interessate includono la versione da 19.0.0 a 19.0.2, la versione da 19.1.0 a 19.1.2 e la versione da 19.2.0 a 19.2.2. Si consiglia pertanto agli sviluppatori di aggiornare alle versioni corrette appena rilasciate:

• 19.0.3
• 19.1.4
• 19.2.3

Fondamentalmente, queste vulnerabilità hanno un ampio raggio d’azione.

Basta che l’applicazione sia vulnerabile a certe funzioni del server per essere esposta a potenziali rischi, senza doverle necessariamente utilizzare. “Anche se la tua app non implementa alcun endpoint di React Server Function, potrebbe comunque essere vulnerabile se supporta i React Server Components”, avverteono i ricercatori di sicurezza.

Il problema più urgente, ha una severity CVSS di 7.5, e riguarda una vulnerabilità che può mettere in ginocchio un server. Identificata come CVE-2025-55184 e CVE-2025-67779, questa falla consente a un aggressore di innescare un loop infinito sul server inviando una specifica richiesta HTTP dannosa. Secondo l’avviso, il loop consuma la CPU del server, bloccandone di fatto le risorse.

La seconda vulnerabilità, il CVE-2025-55183 ha una severity CVSS 5.3, è un problema di gravità media che colpisce la riservatezza del codice dell’applicazione. E’ stato rilevato che in specifiche circostanze, una richiesta nociva è in grado di convincere una funzione del server a fornire all’attaccante il proprio codice sorgente. Secondo quanto riportato nell’avviso, un esperto di sicurezza ha riscontrato che l’invio di una richiesta HTTP dannosa a una funzione del server suscettibile di vulnerabilità potrebbe comportare la restituzione non sicura del codice sorgente di qualsiasi funzione del server.

Per eseguire l’attacco, è necessario un particolare modello di codifica, nel quale una funzione lato server esplicitamente o implicitamente espone un parametro come stringa. Qualora venisse sfruttata, potrebbe portare alla scoperta di informazioni cruciali a livello logico o di chiavi del database internamente allegate al codice della funzione.

Il team di React ha confermato esplicitamente che questi nuovi bug non riapriranno la porta al controllo totale del server. “Queste nuove vulnerabilità non consentono l’esecuzione di codice remoto. La patch per React2Shell rimane efficace nel mitigare l’exploit di esecuzione di codice remoto”.

Il team esorta a procedere con urgenza all’aggiornamento, dato che le vulnerabilità scoperte di recente sono di notevole gravità.

L'articolo React Server: Nuovi bug critici portano a DoS e alla divulgazione del codice sorgente proviene da Red Hot Cyber.

Remote server execution, denial of service vulnerability, and source code leak, whoever works on React Server Components isn't having a great time.

If you haven't already: upgrade asap.

https://www.cve.org/CVERecord?id=CVE-2025-55182
https://www.cve.org/CVERecord?id=CVE-2025-67779
https://www.cve.org/CVERecord?id=CVE-2025-55183

🚨 CVE-2025-8110 (Zero-Day) Detection Template: Improper Symbolic link handling in the PutContents API in Gogs allows Local Execution of Code

GitHub: https://github.com/rxerium/CVE-2025-8110

Writeup: https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

:uwasa_sana: Rumor has it attackers are exploiting a zero-day bug (CVE-2025-8110) in Gogs, a self-hosted Git service, allowing remote code execution. The vulnerability, discovered by Wiz researchers, affects Gogs versions 0.13.3 or earlier with open-registration enabled. While a fix is being developed, Wiz recommends disabling open-registration and limiting internet exposure.

🚨 CVE-2025-58360: OSGeo GeoServer Improper Restriction of XML External Entity Reference Vulnerability has been added to the CISA KEV Catalog

CVSS: 8.2

https://darkwebinformer.com/cisa-kev-catalog/

🚨 New plugin: GeoserverXxePlugin (CVE-2025-58360).

GeoServer XXE vulnerability detection - XML External Entity injection in WMS GetMap operation, added to CISA KEV catalog.

Results: https://leakix.net/search?q=%2Bplugin%3AGeoserverXxePlugin&scope=leak

If you just updated React / NextJS for #react2shell , you now get to update again. Two additional vulnerabilities identified in follow-up work were just published: CVE-2025-55183 (DoS), CVE-2025-55184 (Source Code Exposure)

https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components

https://nextjs.org/blog/security-update-2025-12-11

F5 finally confirmed their stuff is not impacted by CVE-2025-55184.

https://my.f5.com/manage/s/article/K000158154

It’s time for another round of updates. Sorry folks, this will be a “deploy on friday” day.

https://vercel.com/kb/bulletin/security-bulletin-cve-2025-55184-and-cve-2025-55183

#React2Shell

🔴 CRITICAL: React Server Components (v19.0.0–19.2.2) hit by unauth'd DoS (CVE-2025-55184/67779) & source leak (CVE-2025-55183). Patch to 19.0.3/1.4/2.3. Audit functions & input! https://radar.offseq.com/threat/new-react-rsc-vulnerabilities-enable-dos-and-sourc-5809e665 #OffSeq #ReactJS #Vuln #AppSec

Happy patch your React Server Components again Friday to all who celebrate. The patch for CVE-2025-55184 was incomplete and still leaves systems vulnerable to DoS.

https://www.facebook.com/security/advisories/cve-2025-67779

It was found that the fix addressing CVE-2025-55184 in React Server Components was incomplete and does not prevent a denial of service attack in a specific case. React Server Components versions 19.0.2, 19.1.3 and 19.2.2 are affected, allowing unsafe deserialization of payloads from HTTP requests to Server Function endpoints. This can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.

React Server: Nuovi bug critici portano a DoS e alla divulgazione del codice sorgente

La saga sulla sicurezza dei componenti di React Server continua questa settimana.

Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha portato a React2shell, sono state individuate dai ricercatori due nuove vulnerabilità. Queste ultime, pur essendo meno gravi delle precedenti, comportano rischi significativi, tra cui la possibilità di attacchi Denial of Service (DoS) che possono causare il crash del server e l’esposizione di codice sorgente sensibile.

Le versioni interessate includono la versione da 19.0.0 a 19.0.2, la versione da 19.1.0 a 19.1.2 e la versione da 19.2.0 a 19.2.2. Si consiglia pertanto agli sviluppatori di aggiornare alle versioni corrette appena rilasciate:

• 19.0.3
• 19.1.4
• 19.2.3

Fondamentalmente, queste vulnerabilità hanno un ampio raggio d’azione.

Basta che l’applicazione sia vulnerabile a certe funzioni del server per essere esposta a potenziali rischi, senza doverle necessariamente utilizzare. “Anche se la tua app non implementa alcun endpoint di React Server Function, potrebbe comunque essere vulnerabile se supporta i React Server Components”, avverteono i ricercatori di sicurezza.

Il problema più urgente, ha una severity CVSS di 7.5, e riguarda una vulnerabilità che può mettere in ginocchio un server. Identificata come CVE-2025-55184 e CVE-2025-67779, questa falla consente a un aggressore di innescare un loop infinito sul server inviando una specifica richiesta HTTP dannosa. Secondo l’avviso, il loop consuma la CPU del server, bloccandone di fatto le risorse.

La seconda vulnerabilità, il CVE-2025-55183 ha una severity CVSS 5.3, è un problema di gravità media che colpisce la riservatezza del codice dell’applicazione. E’ stato rilevato che in specifiche circostanze, una richiesta nociva è in grado di convincere una funzione del server a fornire all’attaccante il proprio codice sorgente. Secondo quanto riportato nell’avviso, un esperto di sicurezza ha riscontrato che l’invio di una richiesta HTTP dannosa a una funzione del server suscettibile di vulnerabilità potrebbe comportare la restituzione non sicura del codice sorgente di qualsiasi funzione del server.

Per eseguire l’attacco, è necessario un particolare modello di codifica, nel quale una funzione lato server esplicitamente o implicitamente espone un parametro come stringa. Qualora venisse sfruttata, potrebbe portare alla scoperta di informazioni cruciali a livello logico o di chiavi del database internamente allegate al codice della funzione.

Il team di React ha confermato esplicitamente che questi nuovi bug non riapriranno la porta al controllo totale del server. “Queste nuove vulnerabilità non consentono l’esecuzione di codice remoto. La patch per React2Shell rimane efficace nel mitigare l’exploit di esecuzione di codice remoto”.

Il team esorta a procedere con urgenza all’aggiornamento, dato che le vulnerabilità scoperte di recente sono di notevole gravità.

L'articolo React Server: Nuovi bug critici portano a DoS e alla divulgazione del codice sorgente proviene da Red Hot Cyber.

RE: https://infosec.exchange/@cR0w/115691795046297042

Write-up for this from Horizon3.

https://horizon3.ai/attack-research/the-freepbx-rabbit-hole-cve-2025-66039-and-others/

Vulnerabilità di sicurezza in PowerShell: Una nuova Command Injection su Windows

Un aggiornamento di sicurezza urgente è stato rilasciato per risolvere una vulnerabilità critica in Windows PowerShell, che permette agli aggressori di eseguire codice malevolo sui sistemi colpiti. Questa falla di sicurezza, catalogata come CVE-2025-54100, è stata divulgata il 9 dicembre 2025 e costituisce una minaccia considerevole per l’integrità dei sistemi informatici a livello globale.

Microsoft classifica la vulnerabilità come importante, con un punteggio di gravità CVSS di 7,8. La debolezza, identificata come CWE-77, si riferisce alla neutralizzazione impropria di elementi speciali impiegati negli attacchi di iniezione di comandi.

Microsoft considera remota la possibilità che questa vulnerabilità venga sfruttata in attacchi reali. La vulnerabilità è stata già divulgata pubblicamente. Gli aggressori devono disporre di accesso locale e dell’intervento dell’utente per eseguire l’attacco, pertanto sono costretti a cercare di indurre gli utenti ad aprire file dannosi o eseguire comandi sospetti.

Patch di sicurezza sono state rilasciate da Microsoft su diverse piattaforme. È fondamentale che le organizzazioni che operano con Windows Server 2025, Windows 11 nelle versioni 24H2 e 25H2, e Windows Server 2022, procedano con l’applicazione delle patch mediante KB5072033 o KB5074204, dando priorità all’aggiornamento.

Il difetto si verifica quando elementi speciali in Windows PowerShell vengono neutralizzati in modo improprio durante gli attacchi di iniezione di comandi. Ciò permette ad aggressori non autorizzati di eseguire codice arbitrario localmente tramite comandi appositamente predisposti.

Microsoft consiglia di utilizzare l’opzione UseBasicParsing per impedire l’esecuzione di codice script dal contenuto Web. Inoltre, le organizzazioni dovrebbero implementare le linee guida contenute nell’articolo KB5074596 in merito alle misure di sicurezza di PowerShell 5.1 per mitigare i rischi legati all’esecuzione degli script.

La vulnerabilità colpisce un’ampia gamma di sistemi operativi Windows, tra cui Windows 10, Windows 11, Windows Server 2008 fino alla versione 2025 e varie configurazioni di sistema. Gli utenti che utilizzano Windows 10 e versioni precedenti necessitano di aggiornamenti separati, come KB5071546 o KB5071544.

L'articolo Vulnerabilità di sicurezza in PowerShell: Una nuova Command Injection su Windows proviene da Red Hot Cyber.

Microsoft Edge 143.0.3650.80 korrigiert gefährliche Sicherheitslücke (CVE-2025-14174)

https://www.deskmodder.de/blog/2025/12/12/microsoft-edge-143-0-3650-80-korrigiert-gefaehrliche-sicherheitsluecke-cve-2025-14174/

UTT

https://www.cve.org/CVERecord?id=CVE-2025-14534

cc: @Dio9sys @da_667

#internetOfShit

🚨 CVE-2025-14534: CRITICAL buffer overflow in UTT 进取 512W (≤3.1.7.7-171114). Remote, unauthenticated exploit — public code available. Isolate & restrict /goform/formNatStaticMap now! https://radar.offseq.com/threat/cve-2025-14534-buffer-overflow-in-utt-512w-46bf1244 #OffSeq #CVE #BufferOverflow #NetworkSecurity

@Dio9sys @da_667 More UTT

https://www.cve.org/CVERecord?id=CVE-2025-14535

#internetOfShit

⚠️ CVE-2025-14535: CRITICAL buffer overflow in UTT 进取 512W (≤3.1.7.7-171114). Remotely exploitable via ssid param in /goform/formConfigFastDirectionW. Public exploit out, no patch. Isolate & monitor now! https://radar.offseq.com/threat/cve-2025-14535-buffer-overflow-in-utt-512w-d00ee28b #OffSeq #Vuln #IoTSecurity #CVE202514535