🎅 🌲 💫

Weihnachtlich erstrahlen Gassen
Auf zum Einkauf hasten Massen
Drinnen leuchten Kerzen hell
Nur Systemadministratoren
Lauschen bang dem Netz-Rumoren
Horch! Es naht #React2Shell!

https://aws.amazon.com/de/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

To be clear, there are no public PoCs of yesterday's React vulnerability (CVE-2025-55182). The one that was being claimed as a POC has been outed as slop. Indeed, they even renamed the repo.

https://github.com/ejpir/CVE-2025-55182-research

The first PoCs for these vulns are now always fake.

Watch https://react2shell.com for disclosure from the discoverers.

Hm, das mit React2Shell wird noch etwas arg werden.

https://aws.amazon.com/de/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

the bad news: lots of sloppity slop PoCs (slopocs???) abounding for the critical pre-auth React RCE

the good news: more time for you to patch your #React & #Nextjs apps ✨

my write up from yesterday on what to know & what to do: https://www.fastly.com/blog/fastlys-proactive-protection-critical-react-rce-cve-2025-55182

FML we have daft 10 IPs slinging the RSC/Next.js exploit along with one of the oddest JA4t hashes I've seen in a while.

someone(s) burned new infra to do so, too.

if any org gets compromised from an opportunistic campaign (like this) they fully deserve the ransomware/breach they get.

https://viz.greynoise.io/tags/react-server-components-unsafe-deserialization-cve-2025-55182-rce-attempt?days=90

React Developers: There is a serious vulnerability in React and Next.JS (CVE-2025-55182 / CVE-2025-66478). It affects those using React for the BACKEND (RSC and React Server Functions). It is similar in damage and exploit to log4j. Please upgrade asap.

https://twp.ai/4isb7m

Today in "AI ruins everything": AI generated "PoC" for the React RCE CVE-2025-55182, wasting countless defenders' hours, now get included in the CVE references. 🤦‍♂️

At least the co-author alongside the AI has updated the README now:
https://github.com/ejpir/CVE-2025-55182-poc

Looks like the original reporter plans on posting more details at some point in the future here:
https://react2shell.com/

PSA: There are automated attacks in the wild against CVE-2025-55182 (The react server components RCE made public yesterday)

Patch your systems NOW if you haven't yet.
:BoostOK:

Cisco published a placeholder advisory for the React vuln CVE-2025-55182. They have not finished analyzing any of their products yet so impact has not been determined.

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-react-flight-TYw32Ddb

Alleged (by Amazon) active exploitation of React Server Components (RSC) by Chinese threat actors. Has anyone else seen "real" exploitation attempts, not just running the fake PoCs that are out there?

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

#Vulnerabilities #ThreatIntel #React #CVE_2025_55182

Concerned about the CVSS 10/10 React vuln? Datadog Security Research has put together an explainer covering everything you need to know.
https://securitylabs.datadoghq.com/articles/cve-2025-55182-react2shell-remote-code-execution-react-server-components/

this week's conversations. unintentionally topical

#cve202555182

⚠️ Alerte CERT-FR ⚠️

Le CERT-FR a connaissance de preuves de concept publiques pour la vulnérabilité CVE-2025-55182 affectant React Server Components et anticipe des exploitations en masse.

https://cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-014

the real React 10.0 CVE proof of concept (not the "AI" proof of slop)

https://github.com/lachlan2k/React2Shell-CVE-2025-55182-original-poc

Vulnerability Common Schema (replaces old CVE system)

{Product/module name or prefix}{severity number}{exploit type}

For example, CVE-2021-44228 becomes
Log4shell
CVE-2025-55182 becomes
React2shell

Simple.

Una grave vulnerabilidad en React Server Components y Next.js permite ejecución remota de código sin autenticación, afectando versiones clave y exponiendo aplicaciones a ataques críticos. Se desarrolló un mecanismo de alta fidelidad para detectar estas amenazas, mientras expertos recomiendan actualizar y reforzar configuraciones para mitigar riesgos. Descubre estos y más detalles en el siguiente listado de noticias sobre seguridad informática:

🗞️ ÚLTIMAS NOTICIAS EN SEGURIDAD INFORMÁTICA 🔒
====| 🔥 LO QUE DEBES SABER HOY 05/12/25 📆 |====

🔐 VULNERABILIDAD CRÍTICA EN NEXT.JS Y REACT SERVER COMPONENTS QUE PERMITE EJECUCIÓN REMOTA DE CÓDIGO

Se ha detectado una falla de seguridad severa en las versiones 19.0.0 a 19.2.0 de React Server Components y en Next.js, que afecta la deserialización de cargas útiles HTTP sin autenticación previa. Esta vulnerabilidad, registrada como CVE-2025-55182 y CVE-2025-66478, tiene una calificación CVSS de 10.0 debido a su capacidad para ejecutar código remotamente, poniendo en riesgo aplicaciones que utilizan estos frameworks ampliamente adoptados. Es crucial que los desarrolladores y administradores de sistemas actualicen sus entornos y revisen sus configuraciones para mitigar posibles ataques que podrían comprometer la integridad y disponibilidad de sus servicios.

Descubre más detalles sobre esta amenaza y cómo proteger tus sistemas aquí 👉 https://djar.co/WTFvoc

🚨 ALERTA SOBRE LA EJECUCIÓN REMOTA DE CÓDIGO EN REACT SERVER COMPONENTS SIN NECESIDAD DE AUTENTICACIÓN

Los Componentes de Servidor React, entre las versiones mencionadas, presentan una vulnerabilidad que permite a un atacante remoto ejecutar código aprovechando una deserialización insegura de datos HTTP. La gravedad radica en la ausencia total de requerimientos de autenticación, facilitando así ataques sin barreras iniciales. Esta debilidad impacta directamente la seguridad de aplicaciones modernas basadas en React y Next.js, por lo que es imprescindible aplicar los parches recomendados y fortalecer los controles de acceso.

Consulta el análisis técnico y las recomendaciones para reforzar tu seguridad 👉 https://djar.co/6aBjG

⚠️ MECANISMO DE DETECCIÓN DE ALTA FIDELIDAD PARA RCE EN NEXT.JS Y REACT SERVER COMPONENTS

Se ha desarrollado un mecanismo avanzado para detectar intentos de ejecución remota de código (RCE) en Next.js y React Server Components, que permite identificar de manera precisa ataques aprovechando estas vulnerabilidades críticas. Además, se advierte sobre la proliferación de pruebas de concepto erróneas en repositorios públicos, enfatizando la necesidad de contar con detecciones fiables para evitar falsos positivos y responder efectivamente a incidentes reales.

Accede a la información detallada y la herramienta de detección aquí 👉 https://djar.co/u87j4H

🔥 IMPACTO Y MITIGACIONES DE LAS VULNERABILIDADES EN REACT Y NEXT.JS

Este análisis profundo aborda las consecuencias de las vulnerabilidades en componentes de React y Next.js, destacando la gravedad de permitir la ejecución remota de código y los posibles vectores de ataque. Se presentan también estrategias para mitigar estos riesgos, incluyendo actualizaciones, configuraciones seguras y prácticas recomendadas para desarrolladores, con el fin de preservar la integridad y confidencialidad de las aplicaciones.

Infórmate sobre las mejores prácticas y medidas preventivas aquí 👉 https://djar.co/wXxkh

Critical RCE vulnerability (React2shell) found in React Server Components and Next.js. Affects many modern web apps. Patch immediately or deploy WAF rules. Exploitation is imminent.

https://redteamnews.com/red-team/cve/critical-react-and-next-js-rce-vulnerability-analysis-of-cve-2025-55182-and-cve-2025-66478/

React Developers: There is a serious vulnerability in React and Next.JS (CVE-2025-55182 / CVE-2025-66478). It affects those using React for the BACKEND (RSC and React Server Functions). It is similar in damage and exploit to log4j. Please upgrade asap.

https://twp.ai/4isb7m

Una grave vulnerabilidad en React Server Components y Next.js permite ejecución remota de código sin autenticación, afectando versiones clave y exponiendo aplicaciones a ataques críticos. Se desarrolló un mecanismo de alta fidelidad para detectar estas amenazas, mientras expertos recomiendan actualizar y reforzar configuraciones para mitigar riesgos. Descubre estos y más detalles en el siguiente listado de noticias sobre seguridad informática:

🗞️ ÚLTIMAS NOTICIAS EN SEGURIDAD INFORMÁTICA 🔒
====| 🔥 LO QUE DEBES SABER HOY 05/12/25 📆 |====

🔐 VULNERABILIDAD CRÍTICA EN NEXT.JS Y REACT SERVER COMPONENTS QUE PERMITE EJECUCIÓN REMOTA DE CÓDIGO

Se ha detectado una falla de seguridad severa en las versiones 19.0.0 a 19.2.0 de React Server Components y en Next.js, que afecta la deserialización de cargas útiles HTTP sin autenticación previa. Esta vulnerabilidad, registrada como CVE-2025-55182 y CVE-2025-66478, tiene una calificación CVSS de 10.0 debido a su capacidad para ejecutar código remotamente, poniendo en riesgo aplicaciones que utilizan estos frameworks ampliamente adoptados. Es crucial que los desarrolladores y administradores de sistemas actualicen sus entornos y revisen sus configuraciones para mitigar posibles ataques que podrían comprometer la integridad y disponibilidad de sus servicios.

Descubre más detalles sobre esta amenaza y cómo proteger tus sistemas aquí 👉 https://djar.co/WTFvoc

🚨 ALERTA SOBRE LA EJECUCIÓN REMOTA DE CÓDIGO EN REACT SERVER COMPONENTS SIN NECESIDAD DE AUTENTICACIÓN

Los Componentes de Servidor React, entre las versiones mencionadas, presentan una vulnerabilidad que permite a un atacante remoto ejecutar código aprovechando una deserialización insegura de datos HTTP. La gravedad radica en la ausencia total de requerimientos de autenticación, facilitando así ataques sin barreras iniciales. Esta debilidad impacta directamente la seguridad de aplicaciones modernas basadas en React y Next.js, por lo que es imprescindible aplicar los parches recomendados y fortalecer los controles de acceso.

Consulta el análisis técnico y las recomendaciones para reforzar tu seguridad 👉 https://djar.co/6aBjG

⚠️ MECANISMO DE DETECCIÓN DE ALTA FIDELIDAD PARA RCE EN NEXT.JS Y REACT SERVER COMPONENTS

Se ha desarrollado un mecanismo avanzado para detectar intentos de ejecución remota de código (RCE) en Next.js y React Server Components, que permite identificar de manera precisa ataques aprovechando estas vulnerabilidades críticas. Además, se advierte sobre la proliferación de pruebas de concepto erróneas en repositorios públicos, enfatizando la necesidad de contar con detecciones fiables para evitar falsos positivos y responder efectivamente a incidentes reales.

Accede a la información detallada y la herramienta de detección aquí 👉 https://djar.co/u87j4H

🔥 IMPACTO Y MITIGACIONES DE LAS VULNERABILIDADES EN REACT Y NEXT.JS

Este análisis profundo aborda las consecuencias de las vulnerabilidades en componentes de React y Next.js, destacando la gravedad de permitir la ejecución remota de código y los posibles vectores de ataque. Se presentan también estrategias para mitigar estos riesgos, incluyendo actualizaciones, configuraciones seguras y prácticas recomendadas para desarrolladores, con el fin de preservar la integridad y confidencialidad de las aplicaciones.

Infórmate sobre las mejores prácticas y medidas preventivas aquí 👉 https://djar.co/wXxkh

Critical RCE vulnerability (React2shell) found in React Server Components and Next.js. Affects many modern web apps. Patch immediately or deploy WAF rules. Exploitation is imminent.

https://redteamnews.com/red-team/cve/critical-react-and-next-js-rce-vulnerability-analysis-of-cve-2025-55182-and-cve-2025-66478/

Microsoft “Mitigates” Windows LNK Flaw Exploited as Zero-Day
https://www.bleepingcomputer.com/news/microsoft/microsoft-mitigates-windows-lnk-flaw-exploited-as-zero-day/
Microsoft has quietly implemented a mitigation for a high-severity Windows LNK vulnerability exploited as a zero-day by multiple state-aligned and cybercriminal groups. Tracked as CVE-2025-9491, the flaw enables attackers to embed malicious commands inside Windows Shell Link (.lnk) files, allowing malware deployment and persistence. Successful attacks still require user interaction, typically by enticing victims to open weaponized LNK files delivered in ZIP or similar archives.
The vulnerability arises from how Windows parses and displays LNK files. Threat actors abuse this behaviour by padding the Target field with whitespace to conceal malicious command-line arguments, enabling code execution while evading detection.
ACROS Security CEO and 0patch co-founder Mitja Kolsek observed that Microsoft altered LNK file handling in November’s updates, allowing users to view all characters in the Target field rather than truncating at 260 characters. While this change increases visibility, it does not remove malicious arguments or provide warnings to users when opening LNK files with extended Target strings. As a result, the underlying risk remains only partially mitigated.

Era ora! Microsoft corregge vulnerabilità di Windows sfruttata da 8 anni

Microsoft ha silenziosamente corretto una vulnerabilità di Windows di vecchia data, sfruttata in attacchi reali per diversi anni. L’aggiornamento è stato rilasciato nel Patch Tuesday di novembre , nonostante l’azienda fosse stata in precedenza lenta nell’affrontare il problema. Questa informazione è stata rivelata da 0patch, che ha indicato che la falla era stata sfruttata attivamente da vari gruppi dal 2017.

Il problema, denominato CVE-2025-9491, riguarda la gestione da parte di Windows delle scorciatoie LNK. Un errore dell’interfaccia utente faceva sì che parte del comando incorporato nella scorciatoia rimanesse nascosta durante la visualizzazione delle sue proprietà. Ciò consentiva l’esecuzione di codice dannoso come file innocuo. Gli esperti hanno osservato che le scorciatoie erano progettate per ingannare gli utenti, utilizzando caratteri invisibili e mascherandosi da documenti.

I primi dettagli emersero nella primavera del 2025, quando i ricercatori segnalarono che questo meccanismo veniva utilizzato da undici gruppi sponsorizzati da stati provenienti da Cina, Iran e Corea del Nord per attività di spionaggio, furto di dati e attacchi finanziari.
Paesi di origine APT che hanno sfruttato ZDI-CAN-25373 (Fonte Trendmicro)
All’epoca, la falla era nota anche come ZDI-CAN-25373. Microsoft dichiarò all’epoca che il problema non richiedeva un’attenzione immediata, citando il blocco del formato LNK in molte applicazioni Office e gli avvisi visualizzati quando si tentava di aprire tali file.

HarfangLab ha successivamente segnalato che la vulnerabilità era stata sfruttata dal gruppo XDSpy per distribuire il malware XDigo in attacchi ai governi dell’Europa orientale. Nell’autunno del 2025, Arctic Wolf ha rilevato un’altra ondata di abusi, questa volta rivolta a gruppi online cinesi che prendevano di mira istituzioni diplomatiche e governative europee e utilizzavano il malware PlugX. Microsoft ha successivamente rilasciato un chiarimento, ribadendo di non considerare il problema critico a causa della necessità di intervento da parte dell’utente e della presenza di avvisi di sistema.

Secondo 0patch, il problema andava oltre il semplice nascondere la coda del comando. Il formato di collegamento consente stringhe lunghe fino a decine di migliaia di caratteri, ma la finestra delle proprietà mostrava solo i primi 260 caratteri, troncando il resto senza preavviso. Ciò ha permesso di nascondere una parte significativa del comando eseguito. Una correzione di terze parti di 0patch ha risolto il problema in modo diverso : aggiunge un avviso quando si tenta di aprire un collegamento con argomenti più lunghi di 260 caratteri.

Un aggiornamento Microsoft ha risolto il problema espandendo il campo Destinazione in modo che venga visualizzato l’intero comando, anche se supera il limite di lunghezza precedente.

Un rappresentante dell’azienda, contattato, non ha confermato direttamente il rilascio dell’aggiornamento, ma ha fatto riferimento alle raccomandazioni generali sulla sicurezza e ha assicurato che l’azienda continua a migliorare l’interfaccia e i meccanismi di sicurezza.

L'articolo Era ora! Microsoft corregge vulnerabilità di Windows sfruttata da 8 anni proviene da Red Hot Cyber.

🚨 CVE-2025-66516 CRITICAL: XXE in Apache Tika core (v1.13–3.2.1), tika-pdf-module, tika-parsers. Exploitable via crafted PDF XFA files — risks data exfil & DoS. Patch to 3.2.2+ now! https://radar.offseq.com/threat/cve-2025-66516-cwe-611-improper-restriction-of-xml-fa601313 #OffSeq #ApacheTika #XXE #Vuln

Perfect 10 XXE in Apache Tika tika-core. 🥳

https://lists.apache.org/thread/s5x3k93nhbkqzztp1olxotoyjpdlps9k

Critical XXE in Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) and tika-parsers (1.13-1.28.5) modules on all platforms allows an attacker to carry out XML External Entity injection via a crafted XFA file inside of a PDF. \n\nThis CVE covers the same vulnerability as in CVE-2025-54988. However, this CVE expands the scope of affected packages in two ways. \n\nFirst, while the entrypoint for the vulnerability was the tika-parser-pdf-module as reported in CVE-2025-54988, the vulnerability and its fix were in tika-core. Users who upgraded the tika-parser-pdf-module but did not upgrade tika-core to >= 3.2.2 would still be vulnerable. \n\nSecond, the original report failed to mention that in the 1.x Tika releases, the PDFParser was in the \"org.apache.tika:tika-parsers\" module.

https://www.cve.org/CVERecord?id=CVE-2025-66516

../ in laravel-file-manager.

https://github.com/Theethat-Thamwasin/CVE-2025-65346

N-Able Windows Software Probe Remote Code Execution:

https://www.securifera.com/blog/2025/12/02/n-able-formerly-solarwinds-msp-windows-software-probe-remote-code-execution-cve-2025-11367/

#dotnet #vulnerability #windows #hacking #exploitation #infosec #informationsecurity

I love seeing default creds in a CVE.

https://www.cve.org/CVERecord?id=CVE-2025-53963

An issue was discovered on Thermo Fisher Ion Torrent OneTouch 2 INS1005527 devices. They run an SSH server accessible over the default port 22. The root account has a weak default password of ionadmin, and a password change policy for the root account is not enforced. Thus, an attacker with network connectivity can achieve root code execution. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

https://access.redhat.com/security/cve/cve-2025-66287

A flaw was found in WebKitGTK. Processing malicious web content can cause an unexpected process crash due to improper memory handling.

⚠️ Alert: A #WebXR flaw (CVE-2025-12443) affected Chrome, Edge, Brave, Opera and other Chromium browsers - over 4 billion devices at risk. Patch pushed - update your browser now! 🔐

Read: https://hackread.com/webxr-flaw-chromium-users-browser-update/

#CyberSecurity #BrowserUpdate #Chromium #Chrome #Brave