Pretty much every site on our network has been scanned and attempted to be exploited so far for CVE-2025-55182 (React2Shell)

If you didn't patch over the weekend, it might be safe to consider it compromised.

First attempt I see on the logs was on:

2025-12-03 21:00:24 18.182.x.z 403 "POST /_next/static/chunks/react-flight HTTP/1.1" "-" "Mozilla/5.0 (CVE-2025-55182 PoC)"

Before most people were even ware of it.

CVE-2025-55182 (Next.js)を悪用した攻撃はついに拡張機能による自動的な攻撃ができるレベルに。

Exec じゃあないんですよ

For those trying to determine React2Shell exposure: a reminder that Nuclei exists and this is the perfect use case.
https://docs.projectdiscovery.io/opensource/nuclei/overview

Test is in the templates repo: https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-55182.yaml

🚨 In this week’s Threat Alert article, we’re tracking the explosive rise of React2Shell (CVE-2025-55182) attacks. The CrowdSec Network has observed 15,725+ signals in 4 days, a single-day peak of 8,925, and 381 unique IPs already weaponizing the flaw.

Read the full analysis and protect your systems 👉 https://www.crowdsec.net/vulntracking-report/cve-2025-55182

#CVE #React2Shell #CVE202555182 #threatalert #cybersecurity

Remember when we learned to carefully filter user input, especially before executing that input, and ESPECIALLY when we also learned that deserializing an object from user input had BETTER not have a dangerous constructor? In like 2002?

THAT WAS COOL.

https://nvd.nist.gov/vuln/detail/CVE-2025-55182

@jssfr AFAIK, the affected packages are react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack → https://www.cve.org/CVERecord?id=CVE-2025-55182

AFAIK, Mastodon doesn't depend on these packages → https://github.com/mastodon/mastodon/blob/main/package.json

cc @renchap

Researchers have identified over 30 organizations affected by the React2Shell vulnerability (CVE-2025-55182), which is being exploited by an initial access broker linked to China's Ministry of State Security (MSS). The attacks involve stealing credentials and installing malware, with widespread scanning for the critical vulnerability observed globally.
https://therecord.media/researchers-track-dozens-react2shell-vuln

Two Chinese APTs, Earth Lamia and Jackpot Panda, are actively exploiting the React2Shell vulnerability (CVE-2025-55182) in React's server components, with attacks beginning within hours of its disclosure. This critical vulnerability, rated 10/10, impacts the deserialization process and allows attackers to execute malicious commands without authentication, posing a significant risk due to React's widespread use in web development.
https://risky.biz/risky-bulletin-apts-go-after-the-react2shell-vulnerability-within-hours/

🚨 React2Shell (CVE‑2025‑55182) in‑the‑wild exploitation & deep‑dive analysis. Critical RCE across React 19, Next.js & all RSC frameworks. Patch now.
https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

CVE-2025-55182: real shit
sees myself still using react 18 due to issues: I sleep

#thisshitissoass #security #react

En las últimas 24 horas se han detectado vulnerabilidades graves en dispositivos KVM chinos, explotación de 13 años en QEMU y fallos que permiten desactivar BitLocker en Windows, además de un análisis profundo de React2Shell y una alerta del FBI sobre secuestros virtuales por manipulación fotográfica, mientras un banco de Chipre fortalece su defensa ante ciberataques con Cloudflare. Descubre estos y más detalles en el siguiente listado de noticias sobre seguridad informática:

🗞️ ÚLTIMAS NOTICIAS EN SEGURIDAD INFORMÁTICA 🔒
====| 🔥 LO QUE DEBES SABER HOY 09/12/25 📆 |====

🔓 VULNERABILIDADES GRAVES EN SWITCH KVM CHINO

Un dispositivo de gestión remota de bajo costo fabricado por Sipeed presenta una grave vulnerabilidad que permite la grabación no autorizada de audio y otros fallos de seguridad críticos. Esta brecha pone en riesgo la confidencialidad y la integridad de la información gestionada a través del switch. Recomendamos evaluar el uso de estos dispositivos y aplicar parches o mitigaciones específicas. Conoce más detalles sobre estas fallas y cómo proteger tus sistemas 👉 https://djar.co/vddme

🛡️ POSESIÓN DE OBJETOS COM PARA DESACTIVAR BITLOCKER

Investigadores han descubierto que múltiples interfaces COM poco documentadas en Windows pueden ser explotadas para desactivar el cifrado Bitlocker sin autorización. Esta técnica podría permitir a atacantes evitar las protecciones de cifrado y acceder a datos sensibles almacenados en discos duros. Es vital reforzar las políticas de seguridad y controlar estrictamente los accesos a estas interfaces internas. Explora el método y recomendaciones para blindar Bitlocker aquí 👉 https://djar.co/gmEf

🐚 ANÁLISIS PROFUNDO DE LA VULNERABILIDAD REACT2SHELL CVE-2025-55182

Se presenta un estudio técnico detallado sobre la vulnerabilidad React2Shell, que aprovecha errores de deserialización para ejecutar código malicioso en frameworks afectados. El análisis incluye la identificación de cadenas de gadgets, escenarios de explotación, y su impacto en aplicaciones web modernas. Entender esta amenaza es esencial para desarrolladores y equipos de seguridad que buscan proteger sus entornos. Descubre el informe completo y cómo mitigar este riesgo 👉 https://djar.co/ZV3Jr

📸 ALERTA DEL FBI: SECUESTROS VIRTUALES MEDIANTE MANIPULACIÓN DE FOTOS ONLINE

El FBI ha alertado sobre una modalidad de fraude en la que criminales manipulan fotografías compartidas en redes sociales para crear falsas pruebas de vida de supuestas víctimas y exigir rescates por secuestros virtuales. Esta técnica sofisticada pone en evidencia la importancia de una gestión cuidadosa de la información personal en internet y la implementación de medidas de verificación ante solicitudes sospechosas. Infórmate sobre cómo evitar ser víctima de estas estafas 👉 https://djar.co/yN5Vwg

🏦 CASO DE ÉXITO: BANCO DE CHIPRE Y CLOUDFLARE PARA DEFENDERSE DE CIBERATAQUES

Uno de los bancos más grandes de Chipre ha logrado eliminar retrasos críticos en la respuesta a ciberataques y mantener la disponibilidad continua de sus servicios esenciales mediante soluciones integradas con Cloudflare. Este caso evidencia cómo las alianzas tecnológicas estratégicas y la implementación de protecciones avanzadas permiten fortalecer la resiliencia de infraestructuras financieras ante amenazas persistentes. Descubre los detalles y aprendizajes clave de esta colaboración 👉 https://djar.co/Bh1sQG

🐛 EXPLOTACIÓN DE UNA VULNERABILIDAD DE 13 AÑOS EN QEMU

Se ha documentado la explotación de un bug en QEMU, el popular emulador y virtualizador de código abierto, que se remonta a más de una década. Este caso resalta la importancia crítica de mantener actualizado el software de virtualización para evitar que vulnerabilidades antiguas sean aprovechadas por atacantes. Mantener los sistemas parches al día es fundamental para proteger entornos virtuales. Conoce más sobre esta vulnerabilidad y mejores prácticas para mitigación 👉 https://djar.co/8mhb1

React Developers: There is a serious vulnerability in React and Next.JS (CVE-2025-55182 / CVE-2025-66478). It affects those using React for the BACKEND (RSC and React Server Functions). It is similar in damage and exploit to log4j. Please upgrade asap.

https://twp.ai/4isUGk

🚨CVE-2025-66516: Critical XXE in Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) and tika-parsers (1.13-1.28.5) modules on all platforms allows an attacker to carry out XML External Entity injection via a crafted XFA file inside of a PDF.

Scanner: https://github.com/Ashwesker/Blackash-CVE-2025-66516

CVSS: 10
Vendor/Product: Apache Tika

Affected modules:

▪️Apache Tika Core: org.apache.tika:tika-core versions 1.13 through 3.2.1
▪️Apache Tika Parsers: org.apache.tika:tika-parsers versions 1.13 before 2.0.0, In 1.x releases, the PDFParser was bundled in this module.
▪️Apache Tika PDF Parser Module: org.apache.tika:tika-parser-pdf-module versions 2.0.0 through 3.2.1

Advisory: https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

https://www.cve.org/CVERecord?id=CVE-2022-37055 was added to the KEV Catalog.

cc: @Dio9sys @da_667

#internetOfShit

🚨CISA Kev Catalog has added two more vulnerabilities

CVE-2022-37055: D-Link Routers Buffer Overflow Vulnerability

CVSS: 9.8

CVE-2025-66644: Array Networks ArrayOS AG OS Command Injection Vulnerability

CVSS: 7.1

https://darkwebinformer.com/cisa-kev-catalog/

Cal.com has patched a critical authentication bypass (CVE-2025-66489) that allowed attackers to submit any non-empty TOTP field and skip password checks. Versions ≤5.9.7 were impacted.

Update to 5.9.8 to ensure both password and TOTP verification are enforced.
How should MFA implementations be validated to prevent logic gaps like this?

Source: https://gbhackers.com/critical-cal-com-flaw-allows-attackers-to-bypass-authentication-using-fake-totp-codes/

Share your insights and follow us for more security reporting.

#infosec #appsec #CVE2025 #authentication #MFA #ThreatIntel #SecureCoding #SoftwareSecurity #VulnerabilityManagement #SecurityUpdate

📰 SharePoint Flaw Chain Exploited to Deploy Warlock Ransomware

Ransomware alert: Storm-2603 exploits SharePoint flaws (CVE-2025-49706) to deploy Warlock ransomware. Attackers abuse the legitimate DFIR tool 'Velociraptor' to evade detection. Patch SharePoint now! ⚠️ #Ransomware #SharePoint #LotL

🔗 https://cyber.netsecops.io/articles/sharepoint-flaws-chained-to-deliver-warlock-ransomware/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

🚨CISA Kev Catalog has added two more vulnerabilities

CVE-2022-37055: D-Link Routers Buffer Overflow Vulnerability

CVSS: 9.8

CVE-2025-66644: Array Networks ArrayOS AG OS Command Injection Vulnerability

CVSS: 7.1

https://darkwebinformer.com/cisa-kev-catalog/

#OpenAI #Codex CLI war angreifbar - da hätte man alles rausziehen und unterjubeln können.

https://www.borncity.com/blog/2025/12/09/kritische-sicherheitsluecke-cve-2025-61260-in-openai-codex-cli/

🚩 CRITICAL: CVE-2025-66568 in ruby-saml (<1.18.0) allows SAML signature bypass via XML canonicalization flaw. Patch to 1.18.0+ ASAP to protect SSO! Details: https://radar.offseq.com/threat/cve-2025-66568-cwe-347-improper-verification-of-cr-3227f29f #OffSeq #SAML #Ruby #Vuln

🚨 CRITICAL: CVE-2025-42880 in SAP Solution Manager ST 720 enables authenticated attackers to inject code via remote-enabled modules—full system compromise possible. Apply SAP patches, restrict access, and monitor logs now! https://radar.offseq.com/threat/cve-2025-42880-cwe-94-improper-control-of-generati-51f11621 #OffSeq #SAP #CVE202542880 #Infosec

SAP Solution Manager: risolta una falla critica di con Severity CVSS da 9.9

SAP ha appena pubblicato l’ultimo aggiornamento di sicurezza annuale, che riporta 14 nuovi bug di sicurezza sanati. Tra questi unasupport.sap.com/en/my-support/…falla critica di “iniezione di codice” nel SAP Solution Manager rappresenta un rischio elevato per l’integrità dei sistemi aziendali, con un indice di gravità molto vicino al massimo.

Questa vulnerabilità, che vanta un punteggio CVSS pari a 9,9, viene etichettata come “Critica”. La sua origine risiede nell’assenza di una corretta sanificazione degli input, ciò che permette ad un utente malintenzionato, una volta autenticato, di eseguire del codice dannoso attraverso la richiamata di un modulo di funzione che può essere abilitato da remoto.

In questa collection di fix emergono altre due note critiche:

• Vulnerabilità di Apache Tomcat in Commerce Cloud: SAP ha corretto diverse vulnerabilità che interessano Apache Tomcat in SAP Commerce Cloud. Queste falle , tra cui CVE-2025-55754, hanno un punteggio CVSS critico di 9,6.
• Deserializzazione in jConnect: è stata corretta una vulnerabilità di deserializzazione ad alto rischio nell’SDK SAP jConnect per ASE. Questa falla (CVE-2025-42928), classificata CVSS 9.1, poteva consentire a un utente privilegiato di avviare l’esecuzione di codice remoto in condizioni specifiche.

Una delle preoccupazioni più significative è rappresentata dal CVE-2025-42880, una falla di sicurezza di tipo Code Injection che interessa SAP Solution Manager, soprattutto nella versione ST 720.

La compromissione della riservatezza, dell’integrità e della disponibilità potrebbe essere totale se un aggressore ottenesse il pieno controllo del sistema grazie a uno sfruttamento efficace. Le conseguenze sarebbero infatti molto serie.

Oltre agli avvisi critici, sono stati affrontati diversi problemi di elevata gravità:

• Esposizione di dati sensibili (CVE-2025-42878): è stato scoperto che SAP Web Dispatcher e Internet Communication Manager (ICM) possono potenzialmente esporre le interfacce di test interne. Se lasciati abilitati, gli aggressori non autenticati potrebbero “accedere alla diagnostica, inviare richieste contraffatte o interrompere i servizi”.
• Denial of Service (DoS): sono state corrette due vulnerabilità DoS separate (CVE-2025-42874 e CVE-2025-48976): una in SAP NetWeaver (servizio remoto per Xcelsius) e l’altra in SAP Business Objects.
• Corruzione della memoria (CVE-2025-42877): è stato risolto anche un difetto di corruzione della memoria che interessava Web Dispatcher, ICM e SAP Content Server.

E’ fortemente consigliato che gli amministratori esaminino e implementino queste patch, soprattutto la correzione critica per Solution Manager, al fine di assicurare che i loro ambienti SAP continuino a essere protetti anche nel corso del 2026.

L'articolo SAP Solution Manager: risolta una falla critica di con Severity CVSS da 9.9 proviene da Red Hot Cyber.

🛑 CRITICAL: CVE-2025-42928 in SAP jConnect - SDK for ASE (v16.0.4, 16.1) enables RCE by high-privileged users via deserialization. No user interaction needed. Patch & restrict privileged accounts now! More info: https://radar.offseq.com/threat/cve-2025-42928-cwe-502-deserialization-of-untruste-9ab39dbb #OffSeq #SAP #Vuln #RCE

SAP Solution Manager: risolta una falla critica di con Severity CVSS da 9.9

SAP ha appena pubblicato l’ultimo aggiornamento di sicurezza annuale, che riporta 14 nuovi bug di sicurezza sanati. Tra questi unasupport.sap.com/en/my-support/…falla critica di “iniezione di codice” nel SAP Solution Manager rappresenta un rischio elevato per l’integrità dei sistemi aziendali, con un indice di gravità molto vicino al massimo.

Questa vulnerabilità, che vanta un punteggio CVSS pari a 9,9, viene etichettata come “Critica”. La sua origine risiede nell’assenza di una corretta sanificazione degli input, ciò che permette ad un utente malintenzionato, una volta autenticato, di eseguire del codice dannoso attraverso la richiamata di un modulo di funzione che può essere abilitato da remoto.

In questa collection di fix emergono altre due note critiche:

• Vulnerabilità di Apache Tomcat in Commerce Cloud: SAP ha corretto diverse vulnerabilità che interessano Apache Tomcat in SAP Commerce Cloud. Queste falle , tra cui CVE-2025-55754, hanno un punteggio CVSS critico di 9,6.
• Deserializzazione in jConnect: è stata corretta una vulnerabilità di deserializzazione ad alto rischio nell’SDK SAP jConnect per ASE. Questa falla (CVE-2025-42928), classificata CVSS 9.1, poteva consentire a un utente privilegiato di avviare l’esecuzione di codice remoto in condizioni specifiche.

Una delle preoccupazioni più significative è rappresentata dal CVE-2025-42880, una falla di sicurezza di tipo Code Injection che interessa SAP Solution Manager, soprattutto nella versione ST 720.

La compromissione della riservatezza, dell’integrità e della disponibilità potrebbe essere totale se un aggressore ottenesse il pieno controllo del sistema grazie a uno sfruttamento efficace. Le conseguenze sarebbero infatti molto serie.

Oltre agli avvisi critici, sono stati affrontati diversi problemi di elevata gravità:

• Esposizione di dati sensibili (CVE-2025-42878): è stato scoperto che SAP Web Dispatcher e Internet Communication Manager (ICM) possono potenzialmente esporre le interfacce di test interne. Se lasciati abilitati, gli aggressori non autenticati potrebbero “accedere alla diagnostica, inviare richieste contraffatte o interrompere i servizi”.
• Denial of Service (DoS): sono state corrette due vulnerabilità DoS separate (CVE-2025-42874 e CVE-2025-48976): una in SAP NetWeaver (servizio remoto per Xcelsius) e l’altra in SAP Business Objects.
• Corruzione della memoria (CVE-2025-42877): è stato risolto anche un difetto di corruzione della memoria che interessava Web Dispatcher, ICM e SAP Content Server.

E’ fortemente consigliato che gli amministratori esaminino e implementino queste patch, soprattutto la correzione critica per Solution Manager, al fine di assicurare che i loro ambienti SAP continuino a essere protetti anche nel corso del 2026.

L'articolo SAP Solution Manager: risolta una falla critica di con Severity CVSS da 9.9 proviene da Red Hot Cyber.