Мои догадки подтвердились.

CISA added the new 10.0-rated React RCE flaw (CVE-2025-55182) to its exploited list.

🕒 Exploited within hours by Chinese hackers.
💥 Affects Next.js, React Router, Vite, Waku & more.
💰 Some attacks dropped crypto-miners & stole AWS creds.

🔗 Read: https://thehackernews.com/2025/12/critical-react2shell-flaw-added-to-cisa.html

New telemetry from AWS shows exploit attempts against React2Shell (CVE-2025-55182, CVSS 10) starting within hours of disclosure, coming from infrastructure associated with two long-tracked China-linked clusters. Activity includes discovery commands, file writes, and probing other N-days.

Cloudflare’s brief outage during mitigations further highlights how fast large platforms now respond to critical RCEs.

Source: https://thehackernews.com/2025/12/chinese-hackers-have-started-exploiting.html

💬 How do we realistically defend against same-day exploitation?
👍 Follow us for more detailed cyber reports.

#React2Shell #CVE202555182 #CyberSecurity #ThreatIntel #AppSec #WebSecurity #CloudSecurity #InfoSec

Pretty cool how AWS monitors and protects against threats like this.

China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182) | AWS Security Blog

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

Trendet CVE-2025-55182 schon?

🚨 POC for CVE-2025-55182 that works on Next.js 16.0.6

https://x.com/i/status/1997158558283321795

CISA has added CVE-2025-55182 (Meta React Server Components RCE) to the Known Exploited Vulnerabilities Catalog due to confirmed active exploitation.

Although BOD 22-01 applies only to federal agencies, CISA urges all organizations to prioritize KEV items within vulnerability management cycles.

How should teams weigh framework-level RCEs against broader infrastructure vulnerabilities?

Source: https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog

💬 Share your perspective
🔁 Boost & Follow for more neutral cyber insights

#CISA #KEV #RCE #AppSec #VulnerabilityManagement #ThreatIntel #Infosec #SecurityOperations #CyberRisk

🚨 CRITICAL: React2Shell (CVE-2025-55182, CVSS 10.0) is being exploited by Chinese APTs for unauth RCE in vulnerable React Server Components. Patch to 19.0.1/19.1.2/19.2.1 now! Watch for scanning, system discovery, & file writes. Details: https://radar.offseq.com/threat/chinese-hackers-have-started-exploiting-the-newly--36f9fb99 #OffSeq #React2Shell #infosec

Original Proof-of-Concept's for React2Shell CVE-2025-55182
https://github.com/lachlan2k/React2Shell-CVE-2025-55182-original-poc

React Developers: There is a serious vulnerability in React and Next.JS (CVE-2025-55182 / CVE-2025-66478). It affects those using React for the BACKEND (RSC and React Server Functions). It is similar in damage and exploit to log4j. Please upgrade asap.

https://twp.ai/4isXaS

🚨 Critical React & Next.js RCE Vulnerabilities (CVE-2025-55182 & CVE-2025-66478)

Both CVSS 10.0

A severe flaw in React Server Components and Next.js enables unauthenticated Remote Code Execution across millions of exposed applications.

FOFA:

▪️Query: app="NEXT.JS" || app="React.js"
▪️Results: 8,751,903 exposed
▪️Link: https://en.fofa.info/result?qbase64=YXBwPSJORVhULkpTIiB8fCBhcHA9IlJlYWN0LmpzIg%3D%3D

References:

▪️https://securityonline.info/catastrophic-react-flaw-cve-2025-55182-cvss-10-0-allows-unauthenticated-rce-on-next-js-and-server-components/
▪️https://www.vulncheck.com/blog/cve-2025-55182-react-nextjs

PoC Video:

▪️https://x.com/DarkWebInformer/status/1997158558283321795

PoC:
▪️https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3

CVE-2025-55182 and CVE-2025-66478 Scanner:

▪️https://github.com/assetnote/react2shell-scanner
▪️https://github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478

React Developers: There is a serious vulnerability in React and Next.JS (CVE-2025-55182 / CVE-2025-66478). It affects those using React for the BACKEND (RSC and React Server Functions). It is similar in damage and exploit to log4j. Please upgrade asap.

https://twp.ai/4isXaS

🚨 Critical React & Next.js RCE Vulnerabilities (CVE-2025-55182 & CVE-2025-66478)

Both CVSS 10.0

A severe flaw in React Server Components and Next.js enables unauthenticated Remote Code Execution across millions of exposed applications.

FOFA:

▪️Query: app="NEXT.JS" || app="React.js"
▪️Results: 8,751,903 exposed
▪️Link: https://en.fofa.info/result?qbase64=YXBwPSJORVhULkpTIiB8fCBhcHA9IlJlYWN0LmpzIg%3D%3D

References:

▪️https://securityonline.info/catastrophic-react-flaw-cve-2025-55182-cvss-10-0-allows-unauthenticated-rce-on-next-js-and-server-components/
▪️https://www.vulncheck.com/blog/cve-2025-55182-react-nextjs

PoC Video:

▪️https://x.com/DarkWebInformer/status/1997158558283321795

PoC:
▪️https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3

CVE-2025-55182 and CVE-2025-66478 Scanner:

▪️https://github.com/assetnote/react2shell-scanner
▪️https://github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478

⚠️ CRITICAL XXE bug (CVE-2025-66516, CVSS 10.0) in Apache Tika (tika-core, tika-pdf-module, tika-parsers). Exploitation via crafted PDFs can lead to file disclosure & RCE. Upgrade to 3.2.2+ ASAP! https://radar.offseq.com/threat/critical-xxe-bug-cve-2025-66516-cvss-100-hits-apac-d08561e7 #OffSeq #ApacheTika #XXE #Security

Vulnerabilità critica in Apache Tika con Severity 10! rischio di attacco XXE

E’ stata pubblicata una vulnerabilità critica in Apache Tika, che potrebbe consentire un attacco di iniezione di entità esterne XML, noto come XXE. La falla di sicurezza, catalogata come CVE-2025-66516, presenta un punteggio pari a 10,0 secondo la scala CVSS, indice di massima gravità.

Si ritiene che CVE-2025-66516 sia identica al CVE-2025-54988 (punteggio CVSS: 8,4), un’altra falla XXE nel framework di rilevamento e analisi dei contenuti, corretta dai responsabili del progetto nell’agosto 2025. Il nuovo CVE, ha affermato il team di Apache Tika, amplia la portata dei pacchetti interessati in due modi.

La falla critica è presente nei moduli Apache Tika, precisamente in tika-core (dalla versione 1.13 alla 3.2.1), tika-pdf-module (dalle versioni 2.0.0 alla 3.2.1) e tika-parsers (dalla 1.13 alla 1.28.5), su tutte le piattaforme, permette ad un aggressore di effettuare iniezioni di entità esterne XML attraverso un file XFA contraffatto incluso in un PDF.

Riguarda i seguenti pacchetti Maven:

• org.apache.tika:tika-core >= 1.13,
• org.apache.tika:tika-parser-pdf-module >= 2.0.0,
• org.apache.tika:tika-parsers >= 1.13,

“Innanzitutto, sebbene il punto di ingresso della vulnerabilità fosse il modulo tika-parser-pdf, come riportato in CVE-2025-54988, la vulnerabilità e la sua correzione si trovavano in tika-core”, ha affermato il team. “Gli utenti che hanno aggiornato il modulo tika-parser-pdf ma non hanno aggiornato tika-core alla versione >= 3.2.2 sarebbero comunque vulnerabili”.

Alla luce della criticità della vulnerabilità, si consiglia agli utenti di applicare gli aggiornamenti il prima possibile per mitigare le potenziali minacce.

L'articolo Vulnerabilità critica in Apache Tika con Severity 10! rischio di attacco XXE proviene da Red Hot Cyber.

Sfruttata da mesi nel silenzio generale: la falla LNK usata dagli APT di mezzo mondo

Gli esperti hanno scoperto che nell’estate del 2025 Microsoft ha corretto una pericolosa vulnerabilità in Windows che era stata sfruttata attivamente da almeno 11 gruppi di hacker, tra cui APT nordcoreani e grandi gruppi come Evil Corp.

Si tratta del CVE-2025-949, che consentiva agli aggressori di nascondere comandi dannosi all’interno di file LNK e di eseguire malware senza essere rilevati su un dispositivo compromesso.

La radice del problema risiede nel modo in cui Windows gestisce i collegamenti LNK. Gli aggressori hanno riempito il campo Destinazione nel file LNK con spazi per nascondere argomenti dannosi della riga di comando.

Le proprietà del file mostrano solo i primi 260 caratteri del campo Destinazione, mentre il resto rimane nascosto. Di conseguenza, l’utente visualizza un comando innocuo, ma facendo doppio clic sul collegamento viene avviato il malware.

Gruppi di hacker hanno sfruttato attivamente questo trucco. Gli analisti di Trend Micro hanno scoperto che il CVE-2025-9491 è stato sfruttato da almeno 11 gruppi, tra cui APT37 nordcoreano, APT43 (noto anche come Kimsuky), Mustang Panda, SideWinder, RedHotel e Konni, oltre ai criminali informatici di Evil Corp e Bitter.

“Gli attacchi hanno utilizzato vari payload e downloader: Ursnif, Gh0st RAT, Trickbot. Le piattaforme MaaS (malware-as-a-service) hanno complicato ulteriormente la situazione“, osserva Trend Micro.

Come recentemente riportato da Arctic Wolf e StrikeReady , il gruppo di hacker cinese Mustang Panda ha addirittura sfruttato questa vulnerabilità come zero-day e l’ha utilizzata in attacchi contro diplomatici europei in Ungheria, Belgio e altri paesi dell’UE. Gli aggressori hanno infine distribuito il malware PlugX RAT sui sistemi delle loro vittime.

A marzo 2025, gli analisti di Trend Micro segnalarono agli sviluppatori Microsoft che la vulnerabilità CVE-2025-9491 era stata attivamente sfruttata. Tuttavia, il produttore rispose che avrebbe solo “considerato” la correzione del bug, sottolineando che la vulnerabilità non soddisfaceva i criteri per una correzione immediata.

Inoltre, a novembre, i rappresentanti di Microsoft hanno rilasciato un ulteriore chiarimento affermando che il problema non dovrebbe essere considerato una vulnerabilità, “data l’interazione richiesta dall’utente e il fatto che il sistema avvisa in merito al formato di file non attendibile“.

Tuttavia, come ha riferito Mitja Kolsek, responsabile di Acros Security e co-fondatore di 0patch, Microsoft ha recentemente modificato silenziosamente il comportamento dei file LNK. Kolsek afferma che, dopo gli aggiornamenti di giugno (sebbene la patch sembri essere stata distribuita gradualmente), gli utenti vedono tutti i caratteri nel campo Destinazione quando aprono le proprietà dei file LNK, non solo i primi 260.

Kolsek ha osservato che questa non è una soluzione completamente funzionale. Il problema è che gli argomenti dannosi dei file LNK persistono e gli utenti non ricevono ancora avvisi quando aprono un collegamento con una stringa di destinazione eccessivamente lunga.

In attesa che Microsoft rilasci una patch completa, Acros Security ha rilasciato una correzione non ufficiale tramite la sua piattaforma 0Patch. La micropatch limita tutte le stringhe di destinazione nelle scorciatoie a 260 caratteri e avvisa gli utenti del potenziale pericolo nell’apertura di file con stringhe eccessivamente lunghe.

“Anche se è possibile creare scorciatoie dannose con meno caratteri, crediamo che fermare gli attacchi reali già scoperti potrebbe apportare notevoli vantaggi a coloro che sono presi di mira dagli hacker“, afferma Kolsek.

La patch non ufficiale è disponibile per gli utenti 0patch con abbonamenti PRO ed Enterprise che eseguono versioni di Windows da Windows 7 a Windows 11 22H2, nonché da Windows Server 2008 R2 a Windows Server 2022.

L'articolo Sfruttata da mesi nel silenzio generale: la falla LNK usata dagli APT di mezzo mondo proviene da Red Hot Cyber.

#Nextcloud hat gestern 20 CVEs veröffentlicht. Alles Low bis Moderate. Das meiste wurde bereits stillschweigend gepatcht (mit Ausnahme von CVE-2025-66512?). Wer also noch viele ausstehende Updates hat, sollte die Update-Strategie überdenken.

https://github.com/nextcloud/security-advisories/security