Cảnh báo bảo mật: React2Shell – Lỗ hổng nghiêm trọng đang đe dọa gần 1 triệu server React / Next.js trên toàn cầu

Cộng đồng lập trình React, Next.js và Node.js đang đứng trước một lỗ hổng bảo mật cực kỳ nguy hiểm mang tên React2Shell (CVE-2025-55182). Đây là lỗi liên quan trực tiếp đến React Server Components (RSC) và có thể ảnh hưởng đến hàng triệu ứng dụng đang chạy production.

Nhiều máy chủ đã bị chiếm quyền điều khiển, cài malware đào coin, tham gia botnet Mirai hoặc bị lợi dụng để thực hiện DDoS – khiến CPU 100%, hệ thống ì ạch và thậm chí bị nhà cung cấp khóa dịch vụ vì hành vi bất thường.

Vì sao React2Shell nguy hiểm?

1. Ảnh hưởng rộng, khó phát hiện

Bất kỳ dự án nào sử dụng RSC hoặc các thư viện sau đều có nguy cơ cao bị tấn công:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

Nhiều hệ thống production đang bị scan và khai thác mà không hề hay biết, vì log chỉ xuất hiện những request bất thường nhưng không rõ nguồn gốc.

2. Nguy cơ thiệt hại lớn

Nếu server bị chiếm quyền, attacker có thể:

• Cài malware đào coin → ăn CPU 100%
• Cài botnet Mirai → dùng server trong các chiến dịch tấn công
• Lạm dụng tài nguyên hệ thống → gây downtime, tăng chi phí vận hành
• Khi bị abuse, nhà cung cấp có thể khóa VPS, gây mất dịch vụ cho khách hàng

Một số nền tảng lớn (như Cloudflare) cũng đã phải bảo trì khẩn cấp vì sự cố liên quan đến React2Shell.

3. Ảnh hưởng cả hệ sinh thái

Không chỉ React và Next.js, nhiều framework dùng RSC như:

• Vite plugin
• Parcel plugin
• React Router RSC preview
• RedwoodJS
• Waku

đều đồng loạt phát hành bản vá. Nếu bạn đang dùng bất kỳ stack nào trong danh sách này, hãy kiểm tra changelog hoặc security advisory ngay lập tức.

1. Kiểm tra & cập nhật gấp các phiên bản React / Next.js

React – các phiên bản chứa lỗ hổng

• 19.0
• 19.1.0
• 19.1.1
• 19.2.0 React – phiên bản đã được vá
• 19.0.1
• 19.1.2
• 19.2.1

Next.js (App Router) – phiên bản bị ảnh hưởng Tất cả bản từ 14.3.0-canary.77 trở lên → Bao gồm toàn bộ nhánh 15 và 16. Next.js – phiên bản đã vá

• 16.0.7
• 15.5.7
• 15.4.8
• 15.3.6
• 15.2.6
• 15.1.9
• 15.0.5

Nếu bạn đang ở nhánh 14, 15, 16 mà chưa cập nhật → nguy cơ rất cao.

2. Nếu bạn đang dùng VPS / server tự deploy – đặc biệt chú ý!

Các dấu hiệu server đang bị khai thác

• CPU luôn 100%
• Xuất hiện malware đào coin
• Máy chủ tham gia botnet Mirai
• Log chứa nhiều request lạ từ IP bất thường
• Dịch vụ chậm bất thường, VPS bị khóa do “abuse traffic”

Hướng xử lý khẩn cấp (Khuyến nghị mạnh)

1. Backup ngay dữ liệu quan trọng

• Database
• Source code
• File cấu hình sạch

2. Reinstall toàn bộ hệ điều hành Điều này giúp loại bỏ hoàn toàn backdoor mà attacker có thể cấy vào.

3. Cài lại môi trường & cập nhật đúng bản vá

4. Thông báo cho người dùng / khách hàng Nếu nghi ngờ dữ liệu hoặc hệ thống có rủi ro, cần minh bạch để giảm thiểu ảnh hưởng.

Tóm lại

React2Shell không phải lỗi nhỏ – nó ảnh hưởng trực tiếp đến server, dữ liệu và chi phí vận hành.

Nếu bạn đang sử dụng React / Next.js / Node.js kèm React Server Components: Hãy kiểm tra phiên bản và cập nhật ngay lập tức.

Nếu server có dấu hiệu bị chiếm quyền: Backup → Reinstall sạch → *Update bản *vá.

Đừng đợi đến khi CPU 100%, dịch vụ sập hoặc nhà cung cấp khóa VPS rồi mới xử lý.

Anh em DevOps / Admin / Developer

Nếu bạn có tài liệu kỹ thuật, kinh nghiệm xử lý sự cố, hoặc phương pháp hardening server chống React2Shell, hãy chia sẻ thêm để cộng đồng cùng tham khảo.