Một lỗ hổng bảo mật nghiêm trọng trong React Server Components đang bị nhiều nhóm tội phạm mạng khai thác, đe dọa hàng nghìn trang web — bao gồm cả các nền tảng tiền điện tử — với nguy cơ người dùng bị mất toàn bộ tài sản nếu bị ảnh hưởng.
Lỗ hổng này, được theo dõi với mã CVE-2025-55182 và có biệt danh là React2Shell , cho phép kẻ tấn công thực thi mã từ xa trên các máy chủ bị ảnh hưởng mà không cần xác thực. Những người duy trì React đã tiết lộ vấn đề này vào ngày 3 tháng 12 và xếp nó ở mức độ nghiêm trọng cao nhất.
Ngay sau khi thông tin được tiết lộ, GTIG đã quan sát thấy sự khai thác rộng rãi bởi cả những tội phạm có động cơ tài chính và các nhóm tin tặc bị nghi ngờ được nhà nước hậu thuẫn, nhắm mục tiêu vào các ứng dụng React và Next.js chưa được vá lỗi trên các môi trường điện toán đám mây.
Các phần mềm khai thác tiền điện tử sử dụng React - CVE-2025-55182
— Liên minh An ninh (@_SEAL_Org) ngày 13 tháng 12 năm 2025
Chúng tôi đang ghi nhận sự gia tăng đáng kể các phần mềm hút máu được tải lên các trang web (mật mã) hợp pháp thông qua việc khai thác lỗ hổng bảo mật React CVE gần đây.
Tất cả các trang web nên rà soát mã nguồn giao Front-End code) để phát hiện bất kỳ nội dung đáng ngờ nào NGAY LẬP TỨC.
Lỗ hổng này gây ra những tác hại gì?
React Server Components được sử dụng để chạy các phần của ứng dụng web trực tiếp trên máy chủ thay vì trên trình duyệt của người dùng. Lỗ hổng bảo mật xuất phát từ cách React giải mã các yêu cầu đến các hàm phía máy chủ này.
Nói một cách đơn giản, kẻ tấn công có thể gửi một yêu cầu web được thiết kế đặc biệt để đánh lừa máy chủ thực thi các lệnh tùy ý, hoặc chuyển giao quyền kiểm soát hệ thống cho kẻ tấn công.
Lỗi này ảnh hưởng đến các phiên bản React từ 19.0 đến 19.2.0, bao gồm cả các gói được sử dụng bởi các framework phổ biến như Next.js. Chỉ cần cài đặt các gói dễ bị tổn thương thường là đủ để cho phép khai thác.
Cách mà những kẻ tấn công sử dụng nó
Nhóm Tình báo về Mối đe dọa của Google (GTIG) đã ghi nhận nhiều chiến dịch đang hoạt động sử dụng lỗ hổng này để triển khai phần mềm độc hại, cửa hậu và phần mềm khai thác tiền điện tử.
Chỉ vài ngày sau khi lỗ hổng được phát hiện, một số kẻ tấn công đã bắt đầu khai thác nó để cài đặt phần mềm Đào coin Monero . Các cuộc tấn công này âm thầm tiêu tốn tài nguyên máy chủ và điện năng, tạo ra lợi nhuận cho kẻ tấn công trong khi làm giảm hiệu suất hệ thống của nạn nhân.
Các nền tảng tiền điện tử phụ thuộc rất nhiều vào các framework JavaScript hiện đại như React và Next.js, thường xử lý các tương tác ví, ký giao dịch và phê duyệt giấy phép thông qua mã Front-End .
Nếu một trang web bị xâm nhập, kẻ tấn công có thể chèn các đoạn mã độc hại để chặn các tương tác ví hoặc chuyển hướng giao dịch đến ví của chúng — ngay cả khi giao thức blockchain cơ bản vẫn an toàn.
Điều đó khiến các lỗ hổng bảo mật Front-End người dùng trở nên đặc biệt nguy hiểm đối với những người dùng ký các giao dịch thông qua ví điện tử trên trình duyệt.
