Imprensa

Em 3 de dezembro de 2025, a equipe do React divulgou uma vulnerabilidade de segurança crítica (nível 10, o mais elevado) (CVE-2025-55182) relativa ao uso de suas Server Components.

Pouco depois, o time do Next.js publicou um comunicado reforçando que aplicações construídas com Next.js também estão expostas a essa falha — registrada como CVE-2025-66478 — quando utilizam o “App Router”.

Nossos ambientes não foram afetados

Reiteramos que nossos ambientes não utilizam React e Next.js em nossas arquiteturas de aplicações, portanto, nossos serviços não foram impactados por essa vulnerabilidade.

O que essa vulnerabilidade permite

A falha permite que um atacante remoto, sem necessidade de autenticação, envie requisições HTTP especialmente criadas que exploram a desserialização insegura de dados no protocolo RSC (“Flight”). Isso pode levar à execução remota de código (RCE) no servidor que hospeda a aplicação.

Há relatos de que, em ambientes na nuvem, cerca de 39% das instâncias escaneadas apresentaram versões vulneráveis de React ou Next.js com RSC habilitado.

Versões vulneráveis e atualizações disponíveis

• React (pacotes RSC como react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack): versões 19.0.0, 19.1.0, 19.1.1 e 19.2.0 são afetadas
• Next.js: versões 15.x e 16.x (quando usam App Router), bem como builds canary a partir da 14.3.0-canary.77, estão vulneráveis

As versões corrigidas já foram liberadas:

• React: 19.0.1, 19.1.2 ou 19.2.1
• Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ou 16.0.7

Nossos clientes

Essa vulnerabilidade representa um risco real para clientes que hospedem aplicações próprias ou usem stacks que envolvam React 19 e Next.js com Server Components.

Por isso, recomendamos fortemente que os times de desenvolvimento e segurança de nossos clientes revisem suas aplicações, verifiquem dependências, e apliquem os patches o quanto antes, se utilizam React/Next.js.

Recomendações para Mitigação

• Auditar dependências: verificar se há uso de React 19 ou Next.js 15/16 com App Router ou builds canary
• Atualizar imediatamente para as versões corrigidas de React e Next.js informadas acima
• Revisar configurações e práticas de segurança, buscando detecção de acesso suspeito ou requisições anômalas, especialmente em APIs/rotas que usam Server Components
• Consultar times de governança, risco e compliance, avaliando impactos de segurança e continuidade de negócio no contexto das aplicações web expostas

Em caso de dúvidas, nossa equipe de atendimento está à disposição.

A comunidade de segurança detectou uma nova campanha massiva de ataque à cadeia de suprimentos de software, apelidada de Shai-Hulud 2.0. Essa ameaça comprometeu dezenas de pacotes do registro npm — amplamente usado no ecossistema Node.js — e gerou uma propagação automática do malware para milhares de repositórios.

O que aconteceu

• A nova versão do ataque utiliza scripts de instalação (lifecycle scripts) para executar o malware durante o momento da instalação dos pacotes
• Diversos pacotes populares foram “trojanizados”, inclusive de projetos de grande visibilidade, o que ampliou o alcance da ameaça
• Estima-se que mais de 700 pacotes npm tenham sido comprometidos, e o número de repositórios (downstream) infectados até o momento ultrapasse 25.000
• A técnica utilizada permite o roubo de credenciais, tokens, chaves de acesso a ambientes de nuvem e segredos de CI/CD, com possível exfiltração automática para repositórios controlados pelos atacantes

Nosso contexto — por que você pode ficar tranquilo

Como provedor de nuvem, nossa infraestrutura não depende de npm ou Node.js para a prestação de serviço, ou seja, não fomos afetados diretamente por esse ataque.

No entanto, o incidente serve como um importante alerta para clientes e parceiros que tenham aplicações com dependências em npm/Node.js. Em projetos onde essas tecnologias forem utilizadas, há um risco real de exposição de credenciais ou dados sensíveis em pipelines de CI/CD ou ambientes de produção.

Recomendações para quem utiliza npm / Node.js

• Verificar se há pacotes infectados nas dependências e removê-los ou atualizá-los para versões seguras
• Bloquear ou restringir scripts automáticos de instalação (preinstall, postinstall) em pipelines de CI/CD
• Rotacionar credenciais sensíveis (tokens, chaves de nuvem, segredos)
• Revisar logs e repositórios públicos em busca de evidências de exfiltração ou repositórios com nomes suspeitos
• Adotar práticas de segurança reforçadas, como controle rígido de acesso, monitoramento contínuo e uso de tokens com escopo mínimo e curta duração

Por que isso importa

Esse incidente ressalta o quanto a cadeia de suprimentos de software — especialmente em ecossistemas amplamente utilizados como npm/Node.js — pode representar um vetor de ataque severo e muitas vezes invisível para empresas de todos os portes. Mesmo fornecedores de infraestrutura devem se manter atentos, pois eventuais aplicações de clientes podem carregar riscos.

Em caso de dúvidas, nossa equipe de atendimento está à disposição.

Nesta segunda-feira, dia 24/11/2025, estaremos iniciando nosso Plantão 24×7 Black Friday.

Para atender você, cliente, com a melhor qualidade e velocidade, estaremos com equipe expandida, tanto de atendimento quanto de monitoramento, acompanhando e atuando imediatamente em qualquer anomalia.

O plantão seguirá de: 24/11/2025 até 03/12/2025.

Conte com nossa equipe para manter a tecnologia de seu negócio em operação 24×7! 😉

Caso tenha dúvidas, não deixe de contatar o nosso atendimento em: https://atendimento.neture.com.br.