Dalam pernyataan resminya, CISA mengungkapkan bahwa Meta React Server Components mengandung celah eksekusi kode jarak jauh yang dapat dimanfaatkan oleh penyerang anonim dengan mengeksploitasi kelemahan dalam cara React mendekode payload yang dikirim ke endpoint React Server Function. Masalah ini berakar pada proses deserialisasi tidak aman di dalam protokol Flight, mekanisme komunikasi antara sisi server dan klien yang digunakan oleh React. Akibat kelemahan tersebut, penyerang dapat mengirimkan permintaan HTTP berbahaya yang memungkinkan eksekusi perintah arbitrer langsung di server target.
Martin Zugec, Technical Solutions Director di Bitdefender, menegaskan bahwa proses konversi teks menjadi objek merupakan salah satu kelas kerentanan perangkat lunak paling berbahaya. Ia menjelaskan bahwa React2Shell secara spesifik berada di paket react-server, tepatnya pada mekanisme pemrosesan referensi objek saat proses deserialisasi berlangsung. Celah inilah yang membuka jalan bagi penyerang untuk mengambil alih sistem secara penuh.
Pengembang React telah merilis perbaikan keamanan pada versi 19.0.1, 19.1.2, dan 19.2.1 untuk tiga pustaka utama yang terdampak, yakni react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack. Namun, dampak kerentanan ini tidak berhenti di level pustaka inti saja. Sejumlah framework besar yang bergantung pada React juga ikut terdampak, termasuk Next.js, React Router, Waku, Parcel, Vite, hingga RedwoodSDK. Dengan luasnya ekosistem yang bergantung pada React, skala ancaman ini menjadi sangat masif.
Serangan terhadap celah ini terdeteksi hanya beberapa jam setelah pengungkapan publik dilakukan. Amazon melaporkan adanya aktivitas serangan yang berasal dari infrastruktur yang terhubung dengan kelompok peretas asal Tiongkok seperti Earth Lamia dan Jackpot Panda. Tidak hanya itu, beberapa perusahaan keamanan besar seperti Coalition, Fastly, GreyNoise, VulnCheck, dan Wiz juga mengonfirmasi adanya upaya eksploitasi aktif yang dilakukan secara oportunistik oleh berbagai kelompok ancaman. Dalam beberapa kasus, eksploitasi ini digunakan untuk menyebarkan penambang kripto, menjalankan perintah PowerShell “cheap math” sebagai indikator keberhasilan serangan, hingga menanamkan in-memory downloader untuk mengambil payload tambahan dari server jarak jauh.
Data dari platform manajemen permukaan serangan Censys menunjukkan bahwa sekitar 2,15 juta layanan internet yang terbuka berpotensi terpapar kerentanan ini. Jumlah tersebut mencakup layanan web yang menggunakan React Server Components serta berbagai framework turunan seperti Next.js, Waku, React Router, dan RedwoodSDK. Palo Alto Networks Unit 42 juga mengonfirmasi bahwa lebih dari 30 organisasi dari berbagai sektor telah terdampak. Salah satu aktivitas serangan dikaitkan dengan kelompok peretas asal Tiongkok yang dilacak sebagai UNC5174 atau CL-STA-1015, dengan pola serangan yang melibatkan deployment malware SNOWLIGHT dan VShell.
Menurut Justin Moore, Senior Manager Threat Intel Research di Palo Alto Networks Unit 42, pihaknya mengamati adanya aktivitas pemindaian untuk mencari target RCE yang rentan, operasi pengintaian, upaya pencurian file konfigurasi dan kredensial AWS, hingga pemasangan downloader untuk menarik payload dari infrastruktur command and control milik penyerang. Pola ini menunjukkan bahwa eksploitasi bukan hanya bersifat percobaan, tetapi telah berkembang menjadi operasi intrusi yang terstruktur.
Peneliti keamanan Lachlan Davidson, yang pertama kali menemukan dan melaporkan kerentanan ini, telah merilis beberapa proof-of-concept exploit yang memperlihatkan betapa mudahnya celah ini dimanfaatkan. Selain itu, seorang peneliti asal Taiwan dengan nama pengguna GitHub maple3142 juga merilis PoC lain yang berfungsi penuh. Publikasi PoC ini secara tidak langsung mempercepat laju eksploitasi di lapangan karena tersedia bagi siapa pun yang ingin menyalahgunakannya.
Sebagai respons terhadap tingkat ancaman yang sangat tinggi, pemerintah Amerika Serikat melalui Binding Operational Directive (BOD) 22-01 mewajibkan seluruh Federal Civilian Executive Branch (FCEB) untuk menerapkan pembaruan keamanan paling lambat pada 26 Desember 2025. Kebijakan ini menegaskan bahwa celah React2Shell bukan lagi ancaman teoritis, melainkan telah menjadi risiko operasional aktif yang dapat mengancam infrastruktur digital berskala nasional.
Kasus CVE-2025-55182 menjadi pengingat keras bahwa framework modern dengan tingkat adopsi global pun tidak kebal terhadap eksploitasi fatal. Ketergantungan masif pada React dalam pengembangan aplikasi web menjadikan satu celah kritis sebagai pintu masuk bagi serangan berskala besar. Pembaruan sistem secara cepat, audit keamanan menyeluruh, serta pemantauan lalu lintas jaringan secara aktif kini bukan lagi pilihan, melainkan kebutuhan mutlak untuk bertahan di tengah eskalasi ancaman siber yang kian agresif.
