Sản phẩm
Sản phẩm của CyStack
Khám phá bộ công cụ bảo mật trọn gói của CyStack để bảo vệ doanh nghiệp toàn diện, bao gồm dò quét web app, quản lý thiết bị và bảo vệ dữ liệu.
CyStack VulnScan
Phổ biến
Giám sát bảo mật ứng dụng web bằng các phương pháp dò quét tường lửa ngoài. Phát hiện lỗ hổng, quản lý danh sách & chứng chỉ dễ dàng.
Locker Secrets Manager
Mới
Bảo mật tokens, mật khẩu, chứng chỉ, và khóa bằng UI, CLI hoặc SDK trực quan.
SafeChain Blockchain Security
Dò quét và giám sát hợp đồng thông minh blockchain. Xác định các lỗ hổng và nhận thông báo nếu phát hiện token bất thường.
Locker Password Manager
Lưu trữ mật khẩu an toàn, quản lý dữ liệu nhạy cảm (secrets) và cho phép đăng nhập chỉ với một cú nhấp chuột.
CyStack Endpoint
Mới
Theo dõi thiết bị nâng cao, quản lý từ xa và kiểm soát quyền truy cập dành cho doanh nghiệp ở mọi quy mô.
WhiteHub Bug Bounty
Ứng dụng phương pháp Crowdsourced Security với cộng đồng gồm 3000+ hackers mũ trắng.
CyStack Trust Center
Đơn giản hóa việc thể hiện cam kết an ninh mạng của doanh nghiệp. Tự động tạo trang profile bảo mật chuyên dụng được tích hợp với tên miền.
CyStack Data Leak Detection
Bảo vệ thương hiệu và thông tin khách hàng bằng cách nhanh chóng phát hiện rò rỉ dữ liệu, tránh thiệt hại về hình ảnh, tài chính và pháp lý.
Dịch vụ
Security Assessment
Security Operations
Security Consulting
Bảo mật Blockchain
Dành cho doanh nghiệp
Theo Use Case
Startup
Tuân thủ Nghị định 13
Ứng phó với Ransomware
Kiểm thử bảo mật
An toàn vận hành
Bảo mật dữ liệu
Tuân thủ bảo mật
Bảo mật Blockchain
Theo lĩnh vực
Khu vực công
Dịch vụ tài chính
Thương mại điện tử
Y tế
Doanh nghiệp Blockchain
Bạn đang tìm kiếm điều gì?
Chúng tôi mang đến cho bạn những thông tin mới nhất, xu hướng và kiến thức sâu sắc về thế giới công nghệ luôn đổi mới. Đồng hành với chúng tôi và khám phá sức mạnh của kỷ nguyên kỹ thuật số.
Công ty
Tài liệu

English EN

Tiếng Việt VI

Trang chủ BlogLỗ hổng React2Shell: Đánh giá ảnh hưởng từ góc nhìn của chuyên gia bảo mật CyStack

News & Trends

Lỗ hổng React2Shell: Đánh giá ảnh hưởng từ góc nhìn của chuyên gia bảo mật CyStack

5 phút để đọc

04/12/2025

Huy Nguyễn

Head of Security. Strategist. Defender. Building resilient defenses for the modern web.

Reading Time: 5 minutes

Vào ngày 3/12/2025, đội ngũ phát triển React đã phát đi cảnh báo khẩn cấp về một lỗ hổng Thực thi mã từ xa (RCE) nghiêm trọng nằm trong React Server Components (RSC). Lỗ hổng này cho phép kẻ tấn công chưa xác thực có thể chạy mã JavaScript tùy ý ngay trên máy chủ.

Được định danh là CVE‑2025‑55182 và mang tên “React2Shell”, lỗ hổng này có điểm nghiêm trọng tuyệt đối theo thang đo CVSS v3 là 10.0. Điều đáng lưu ý là ngay cả khi ứng dụng không chủ động sử dụng các server function (hàm máy chủ), hệ thống vẫn có thể bị khai thác nếu tính năng RSC đang được bật.

Bối cảnh của lỗ hổng

React, nền tảng được phát triển bởi Facebook, là “xương sống” của phát triển web hiện đại, chuyên dùng để xây dựng các thành phần giao diện (UI) có tính tương tác cao. Một tính năng quan trọng trong hệ sinh thái này là React Server Components (RSC) – cho phép một phần ứng dụng chạy trên máy chủ và truyền kết quả về trình duyệt để tối ưu hóa hiệu năng. Chính thành phần này là nơi chứa lỗ hổng bảo mật nghiêm trọng nói trên.

Lỗ hổng React2Shell theo góc nhìn chuyên gia

Rủi ro này lần đầu được phát hiện vào ngày 29/11/2025 bởi nhà nghiên cứu Lachlan Davidson. Ông đã lập tức báo cáo cho đội ngũ phát triển của React và Next.js (framework web hàng đầu dựa trên React). Đến ngày 3/12/2025, cả hai nhóm phát triển đã phát đi thông báo khẩn cấp cùng hướng dẫn cập nhật bản vá để ngăn chặn rủi ro.

Cơ chế hoạt động của lỗ hổng

Về bản chất, CVE‑2025‑55182 là một lỗ hổng giải tuần tự không an toàn (insecure deserialization) trong cách React Server Components xử lý dữ liệu.

Một kẻ tấn công không cần xác thực có thể tạo ra một HTTP request (yêu cầu web) độc hại và gửi nó đến bất kỳ endpoint nào của Server Function. Khi React cố gắng giải mã (deserialize) request này, nó sẽ kích hoạt việc thực thi mã tùy ý trên máy chủ. Các chi tiết kỹ thuật sâu hơn hiện đang được giữ kín cho đến khi phần lớn hệ sinh thái người dùng đã cập nhật bản vá.

Lỗ hổng React ảnh hưởng đến 10.0 CVSS khiến React2Shell trở thành lỗ hổng nguy hiểm nhất lịch sử

Cơ chế chính:

Payload: Kẻ tấn công tạo ra một gói dữ liệu không hợp lệ, buộc máy chủ phải thực thi đoạn mã được cài cắm bên trong payload đó ngay trong quá trình giải mã.
Khả năng tiếp cận: Do RSC thường được bật theo mặc định, các ứng dụng có thể bị xâm nhập ngay cả khi chúng không triển khai server function một cách rõ ràng.

Cái tên “React2Shell” được các nhà nghiên cứu đặt ra nhằm gợi nhớ đến Log4Shell, ám chỉ mức độ nghiêm trọng tương đương trong giới bảo mật toàn cầu. Tính đến thời điểm cập nhật bài viết này, chưa có ghi nhận công khai nào về việc khai thác lỗ hổng này trong thực tế để vượt qua các cấu hình mặc định, và các hãng bảo mật uy tín cũng chưa xác nhận trường hợp hệ thống nào bị xâm nhập.

Ảnh hưởng rộng khắp của React2Shell

React2Shell được đánh giá là một trong những lỗ hổng nguy hiểm nhất trong vài năm trở lại đây vì nó vi phạm một nguyên tắc nền tảng của bảo mật phần mềm: mã chạy phía máy chủ không bao giờ được phép chịu sự kiểm soát của dữ liệu đầu vào từ người dùng.

Trong bối cảnh web hiện đại, sự kết hợp giữa truy cập từ xa, không cần xác thực, không cần tương tác người dùng (zero-click), và chiếm quyền điều khiển cấp server đại diện cho mức độ rủi ro cao nhất.

Sự phổ biến: Theo khảo sát “State of JavaScript 2024”, 82% lập trình viên sử dụng React.
Dễ dàng khai thác: Với việc RSC được bật mặc định trên nhiều framework (đặc biệt là Next.js), chỉ một sơ suất nhỏ trong cấu hình cũng có thể khiến máy chủ production bị lộ diện.
Hậu quả: Khai thác thành công cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm, thao túng logic ứng dụng, hoặc cài đặt mã độc tồn tại dai dẳng trên hệ thống.

React2Shell (CVE‑2025‑55182) ảnh hưởng sâu rộng về bảo mật của các tính năng và dịch vụ toàn cầu

React là nền tảng đứng sau vô số hệ thống, từ thương mại điện tử, bảng quản trị SaaS đến các hệ thống tài chính. Nhiều đội ngũ phát triển thậm chí không nhận ra họ đang sử dụng các giải pháp bị ảnh hưởng do cơ chế mặc định của framework.

Phương án xử lý và khuyến nghị

Khả năng tấn công dễ dàng đòi hỏi hành động ngay lập tức. React2Shell không chỉ đặt website vào tình thế rủi ro mà còn đe dọa cả hạ tầng backend – bao gồm cơ sở dữ liệu, API nội bộ và các dịch vụ đám mây. Mặc dù Next.js đã phát đi cảnh báo riêng, nguyên nhân gốc rễ vẫn nằm trong các gói server của React.

CyStack khuyến nghị các tổ chức cần kiểm kê ngay lập tức mọi dịch vụ phụ thuộc vào các gói này, bao gồm microservice, serverless function và các workload backend khác.

1. Cập nhật thư viện ngay tức thì

Biện pháp đối phó hiệu quả nhất là nâng cấp lên các phiên bản đã vá của react-server-dom-*

Các phiên bản: 19.0.1, 19.1.2, hoặc 19.2.1.
Đối với người dùng Next.js: Đảm bảo nâng cấp đúng phiên bản vá tương ứng với nhánh phiên bản mà tổ chức đang sử dụng.
Hệ sinh thái liên quan: Kiểm tra cập nhật từ các framework liên quan như React Router, Expo, Redwood SDK và Waku.

2. Áp dụng các biện pháp tạm thời

Đối với các ứng dụng chưa thể vá ngay lập tức, hãy triển khai các lớp bảo vệ sau:

WAF & Reverse Proxy: Cấu hình Tường lửa Ứng dụng Web (WAF) để phát hiện và chặn các payload đáng ngờ nhắm vào các endpoint RSC.
Giám sát: Theo dõi chặt chẽ log để phát hiện các yêu cầu HTTP bất thường.
Quét lỗ hổng: Sử dụng các công cụ như CyStack VulnScan hoặc các giải pháp rà quét toàn diện tương tự để xác định các tài sản bị phơi nhiễm trong hạ tầng.

3. Theo dõi thông báo từ nhà cung cấp

Duy trì cảnh giác với các cập nhật từ đội ngũ React và Next.js. Lưu ý rằng các cơ sở dữ liệu bảo mật có thể gộp CVE của Next.js vào CVE chính của React, do đó các công cụ quản lý lỗ hổng có thể chỉ hiển thị mã CVE‑2025‑55182.

Kết luận

Lỗ hổng React2Shell nhấn mạnh tầm quan trọng cốt yếu của việc giải tuần tự dữ liệu an toàn (secure data serialization), đồng thời cho thấy các framework JavaScript hiện đại có ảnh hưởng sâu rộng thế nào đến bảo mật backend. Dù chưa ghi nhận khai thác thực tế tính đến đầu tháng 12/2025, nhưng mức độ nghiêm trọng, khả năng tấn công dễ dàng và sự phổ biến của React là lời cảnh báo rằng các tổ chức không được phép trì hoãn.

Nâng cấp lên phiên bản vá mới nhất, rà soát việc sử dụng RSC và triển khai các lớp bảo vệ tạm thời để giảm thiểu rủi ro. Hãy cập nhật thường xuyên các thông báo từ nhà cung cấp và luôn trong trạng thái sẵn sàng phản ứng trước bất kỳ dấu hiệu khai thác nào.

Huy Nguyễn
Chuyên gia bảo mật từ CyStack

0 Bình luận

Đăng nhập để thảo luận

CyStack blog

Mẹo, tin tức, hướng dẫn và các best practice độc quyền của CyStack

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.

Đăng ký nhận Newsletter

Nhận các nội dung hữu ích mới nhất

{"success":true,"head":"<title>Lỗ hổng React2Shell: Đánh giá ảnh hưởng từ góc nhìn của chuyên gia bảo mật CyStack - CyStack Blog</title>\n<meta name=\"description\" content=\"Ngày 3/12, React cảnh báo lỗ hổng React2Shell (CVE‑2025‑55182) điểm CVSS 10.0. Kẻ tấn công có thể RCE trên mọi app bật RSC ngay cả khi không dùng server function\"/>\n<meta name=\"robots\" content=\"noindex, nofollow\"/>\n<meta property=\"og:locale\" content=\"en_US\" />\n<meta property=\"og:type\" content=\"article\" />\n<meta property=\"og:title\" content=\"Lỗ hổng React2Shell: Đánh giá ảnh hưởng từ góc nhìn của chuyên gia bảo mật CyStack - CyStack Blog\" />\n<meta property=\"og:description\" content=\"Ngày 3/12, React cảnh báo lỗ hổng React2Shell (CVE‑2025‑55182) điểm CVSS 10.0. Kẻ tấn công có thể RCE trên mọi app bật RSC ngay cả khi không dùng server function\" />\n<meta property=\"og:url\" content=\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/\" />\n<meta property=\"og:site_name\" content=\"CyStack Blog\" />\n<meta property=\"article:tag\" content=\"vi\" />\n<meta property=\"article:section\" content=\"News & Trends\" />\n<meta property=\"og:updated_time\" content=\"2025-12-05T09:57:07+07:00\" />\n<meta property=\"og:image\" content=\"https://s.locker.io/resources/04203113/6.png\" />\n<meta property=\"og:image:secure_url\" content=\"https://s.locker.io/resources/04203113/6.png\" />\n<meta property=\"og:image:width\" content=\"1200\" />\n<meta property=\"og:image:height\" content=\"630\" />\n<meta property=\"og:image:alt\" content=\"React2Shell\" />\n<meta property=\"og:image:type\" content=\"image/jpeg\" />\n<meta property=\"article:published_time\" content=\"2025-12-04T21:43:38+07:00\" />\n<meta property=\"article:modified_time\" content=\"2025-12-05T09:57:07+07:00\" />\n<meta name=\"twitter:card\" content=\"summary_large_image\" />\n<meta name=\"twitter:title\" content=\"Lỗ hổng React2Shell: Đánh giá ảnh hưởng từ góc nhìn của chuyên gia bảo mật CyStack - CyStack Blog\" />\n<meta name=\"twitter:description\" content=\"Ngày 3/12, React cảnh báo lỗ hổng React2Shell (CVE‑2025‑55182) điểm CVSS 10.0. Kẻ tấn công có thể RCE trên mọi app bật RSC ngay cả khi không dùng server function\" />\n<meta name=\"twitter:image\" content=\"https://s.locker.io/resources/04203113/6.png\" />\n<meta name=\"twitter:label1\" content=\"Written by\" />\n<meta name=\"twitter:data1\" content=\"Huy Nguyễn\" />\n<meta name=\"twitter:label2\" content=\"Time to read\" />\n<meta name=\"twitter:data2\" content=\"6 minutes\" />\n<script type=\"application/ld+json\" class=\"rank-math-schema\">{\"@context\":\"https://schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"@id\":\"https://blog.cystack.org/#organization\",\"name\":\"CyStack\",\"url\":\"https://blog.cystack.org\"},{\"@type\":\"WebSite\",\"@id\":\"https://blog.cystack.org/#website\",\"url\":\"https://blog.cystack.org\",\"name\":\"CyStack\",\"publisher\":{\"@id\":\"https://blog.cystack.org/#organization\"},\"inLanguage\":\"en-US\"},{\"@type\":\"ImageObject\",\"@id\":\"https://s.locker.io/resources/04203113/6.png\",\"url\":\"https://s.locker.io/resources/04203113/6.png\",\"width\":\"1200\",\"height\":\"630\",\"inLanguage\":\"en-US\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":\"1\",\"item\":{\"@id\":\"https://blog.cystack.org\",\"name\":\"Home\"}},{\"@type\":\"ListItem\",\"position\":\"2\",\"item\":{\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/\",\"name\":\"L\\u1ed7 h\\u1ed5ng React2Shell: \\u0110\\u00e1nh gi\\u00e1 \\u1ea3nh h\\u01b0\\u1edfng t\\u1eeb g\\u00f3c nh\\u00ecn c\\u1ee7a chuy\\u00ean gia b\\u1ea3o m\\u1eadt CyStack\"}}]},{\"@type\":\"WebPage\",\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/#webpage\",\"url\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/\",\"name\":\"L\\u1ed7 h\\u1ed5ng React2Shell: \\u0110\\u00e1nh gi\\u00e1 \\u1ea3nh h\\u01b0\\u1edfng t\\u1eeb g\\u00f3c nh\\u00ecn c\\u1ee7a chuy\\u00ean gia b\\u1ea3o m\\u1eadt CyStack - CyStack Blog\",\"datePublished\":\"2025-12-04T21:43:38+07:00\",\"dateModified\":\"2025-12-05T09:57:07+07:00\",\"isPartOf\":{\"@id\":\"https://blog.cystack.org/#website\"},\"primaryImageOfPage\":{\"@id\":\"https://s.locker.io/resources/04203113/6.png\"},\"inLanguage\":\"en-US\",\"breadcrumb\":{\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/#breadcrumb\"}},{\"@type\":\"Person\",\"@id\":\"https://blog.cystack.org/author/huynv/\",\"name\":\"Huy Nguy\\u1ec5n\",\"url\":\"https://blog.cystack.org/author/huynv/\",\"image\":{\"@type\":\"ImageObject\",\"@id\":\"https://secure.gravatar.com/avatar/d00caeca6c0c65dcd57164913742a68dbf5aa152fdfbbb73711a8aede10af0f0?s=96&d=mm&r=g\",\"url\":\"https://secure.gravatar.com/avatar/d00caeca6c0c65dcd57164913742a68dbf5aa152fdfbbb73711a8aede10af0f0?s=96&d=mm&r=g\",\"caption\":\"Huy Nguy\\u1ec5n\",\"inLanguage\":\"en-US\"},\"worksFor\":{\"@id\":\"https://blog.cystack.org/#organization\"}},{\"@type\":\"BlogPosting\",\"headline\":\"L\\u1ed7 h\\u1ed5ng React2Shell: \\u0110\\u00e1nh gi\\u00e1 \\u1ea3nh h\\u01b0\\u1edfng t\\u1eeb g\\u00f3c nh\\u00ecn c\\u1ee7a chuy\\u00ean gia b\\u1ea3o m\\u1eadt CyStack - CyStack Blog\",\"keywords\":\"React2Shell,CVE\\u20112025\\u201155182,react\",\"datePublished\":\"2025-12-04T21:43:38+07:00\",\"dateModified\":\"2025-12-05T09:57:07+07:00\",\"author\":{\"@id\":\"https://blog.cystack.org/author/huynv/\",\"name\":\"Huy Nguy\\u1ec5n\"},\"publisher\":{\"@id\":\"https://blog.cystack.org/#organization\"},\"description\":\"Ng\\u00e0y 3/12, React c\\u1ea3nh b\\u00e1o l\\u1ed7 h\\u1ed5ng React2Shell (CVE\\u20112025\\u201155182) \\u0111i\\u1ec3m CVSS 10.0. K\\u1ebb t\\u1ea5n c\\u00f4ng c\\u00f3 th\\u1ec3 RCE tr\\u00ean m\\u1ecdi app b\\u1eadt RSC ngay c\\u1ea3 khi kh\\u00f4ng d\\u00f9ng server function\",\"name\":\"L\\u1ed7 h\\u1ed5ng React2Shell: \\u0110\\u00e1nh gi\\u00e1 \\u1ea3nh h\\u01b0\\u1edfng t\\u1eeb g\\u00f3c nh\\u00ecn c\\u1ee7a chuy\\u00ean gia b\\u1ea3o m\\u1eadt CyStack - CyStack Blog\",\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/#richSnippet\",\"isPartOf\":{\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/#webpage\"},\"image\":{\"@id\":\"https://s.locker.io/resources/04203113/6.png\"},\"inLanguage\":\"en-US\",\"mainEntityOfPage\":{\"@id\":\"https://blog.cystack.org/blog/2025/12/04/lo-hong-react2shell/#webpage\"}}]}</script>\n"}

Sản phẩm của CyStack

CyStack VulnScan

Locker Secrets Manager

SafeChain Blockchain Security

Locker Password Manager

CyStack Endpoint

WhiteHub Bug Bounty

CyStack Trust Center

CyStack Data Leak Detection

Theo Use Case

Theo lĩnh vực

Bạn đang tìm kiếm điều gì?

Lỗ hổng React2Shell: Đánh giá ảnh hưởng từ góc nhìn của chuyên gia bảo mật CyStack

Mục lục

Bối cảnh của lỗ hổng

Cơ chế hoạt động của lỗ hổng

Ảnh hưởng rộng khắp của React2Shell

Phương án xử lý và khuyến nghị

1. Cập nhật thư viện ngay tức thì

2. Áp dụng các biện pháp tạm thời

3. Theo dõi thông báo từ nhà cung cấp

Kết luận

CyStack blog

Đăng ký nhận bản tin của chúng tôi

Chính sách Cookies

Văn phòng Việt Nam

Văn phòng Canada

Audit

Security Operations

Data Security

Security Compliance

Blockchain Security

Company

Resources