React2Shell – Falha crítica de segurança no React.JS

PorRodrigo Zanotta

Uma grande falha de segurança no ReactJS, foi encontrada por Lachlan Davidson.
A descoberta da falha, feita através do programa Bug Bounty da Meta, foi inicialmente detectada em 29 de novembro e claro, comunicada diretamente a Meta.

O que era possível com essa falha? Simplesmente executar códigos remotos usando React Server Components!

Dia 3 de novembro, a falha foi corrigida pelo trabalho em conjunto da equipe da Meta e da Vercel (gigante por trás do framework NextJS).

A falha afeta projetos em ReactJS e claro, NextJS.

Versões afetadas:

  • Next.js: >=14.3.0-canary.77, >=15, >=16
  • React: 19.0.0, 19.1.0, 19.1.1, and 19.2.0 

Versões corrigidas:

  • React: 19.0.1, 19.1.2, 19.2.1
    Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7, 15.6.0-canary.58, 16.1.0-canary.12+

Como corrigir:

Via npm (recomendado), verificar pacotes afetados:

npm audit

Aplicar correções:

npm audit fix


Caso seu projeto esteja hospedado diretamente na Vercel, o próprio dashboard deles irá oferecer as opções para aplicar o patch automaticamente (e fazer pull-request em seu projeto).

Esta é uma falha grave e com vários relatórios de grandes problemas, não deixe de aplicar a correção.

Posts Similares

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *