Kritická chyba v Reactu ohrožuje servery po celém světě
Co se dozvíte v článku
Svět webových aplikací čelí nové, mimořádně závažné hrozbě, kterou bezpečnostní komunita pokřtila jako „React2Shell“. Tato zranitelnost, sledovaná pod identifikátory CVE-2025–55182, získala maximální možné skóre závažnosti CVSS 10.0. Jedná se o chybu typu Remote Code Execution (RCE), která postihuje React Server Components (RSC) v ekosystému React 19 a frameworky, které na něm stavějí, jako je populární Next.js. Vzhledem k tomu, že k úspěšnému útoku není vyžadována žádná autentizace, představuje tato díra noční můru pro správce serverů a vývojáře, kteří musí okamžitě reagovat.
Jádro problému leží v implementaci protokolu „Flight“, který React používá pro komunikaci mezi serverovými a klientskými komponentami. Chyba spočívá v nebezpečné deserializaci dat na straně serveru. Útočník může odeslat speciálně upravený HTTP požadavek, který React nesprávně zpracuje, což umožní spuštění libovolného kódu přímo na serveru. Děsivá je triviálnost zneužití: zranitelné jsou i výchozí konfigurace aplikací. Zatímco CVE-2025–55182 odkazuje přímo na chybu v knihovně react-server, tato zranitelnost se přímo dotýká i frameworku Next.js (verze 15.x a 16.x), který tuto zranitelnou komponentu využívá a dědí tak její kritická rizika.
Situace je o to vážnější, že detailní „Proof of Concept“ (PoC) exploity jsou již veřejně dostupné a bezpečnostní týmy zaznamenaly aktivní zneužívání v reálném provozu. Útočníci, včetně státem podporovaných skupin, masivně skenují internet a hledají zranitelné instance, které následně kompromitují pro účely špionáže, instalace malwaru nebo těžby kryptoměn. Protože k provedení útoku stačí jediný škodlivý požadavek, časové okno pro obranu je minimální. Mnozí experti tuto situaci přirovnávají k nechvalně proslulé zranitelnosti Log4Shell, a to nejen kvůli podobnému názvu, ale především kvůli plošnému dopadu na moderní webovou infrastrukturu.
Jedinou účinnou obranou je okamžitá aktualizace postižených balíčků. Vývojáři používající Next.js musí neprodleně přejít na opravené verze (např. 15.1.0+ nebo nejnovější canary buildy pro verzi 14), které obsahují záplaty pro React Server Components. Pokud používáte jiné frameworky stavějící na React 19 (jako Waku nebo RedwoodJS), ověřte dostupnost bezpečnostních aktualizací u jejich správců. Dočasná mitigace pomocí WAF (Web Application Firewall) je sice možná filtrováním specifických payloadů, ale nelze na ni spoléhat jako na trvalé řešení. Pokud provozujete aplikaci s RSC, patchování není volba, ale nutnost.
Nový phishing „Spiderman“ cílí na zákazníky evropských bank
Nový phishingový kit nazvaný Spiderman umožňuje kyberzločincům velmi pohodlnou možnost vydávat se za desítky velkých evropských bank, a v reálném čase krást přihlašovací údaje i kódy dvoufaktorového ověřování do jejich systémů online bankovnictví. Jeho profesionální design a zároveň pokročilé mechanismy ukazují, že phishingové nástroje mířené na finanční sektor se stávají jednak sofistikovanějšími, jednak také vykazují znaky „komodifikace“ – samy tyto nástroje se mění v nabízené a žádané, neboť umožňují překonat technologickou bariéru a provést profesionální phishingový útok i technicky nevyspělým útočníkům.
Podle expertů bezpečnostní firmy Varonis Spiderman sdružuje desítky tzv. šablon, tedy věrných kopií stránek předních bankovních ústavů, do jednoho jednoduchého ovládacího panelu, který mohou útočníci používat napříč hranicemi evropských zemí. Platforma také podporuje sledování relací obětí v reálném čase a sběr jejich dat a představuje rostoucí hrozbu jak pro tradiční banky, tak pro evropské uživatele kryptoměn.
Kit už koluje ve fórech a soukromých skupinách na komunikační platformě Signal, přičemž jedna taková pozorovaná skupina má přes 750 členů — což ukazuje, že Spiderman není jen vývojový prototyp nebo exkluzivní nástroj, ale spíše ve velkém měřítku rozšířený a kvalitně podporovaný systém. Seznam napadených institucí zahrnuje významné bankovní subjekty, jako jsou Deutsche Bank, Commerzbank, ING (v Německu a Belgii) nebo španělská CaixaBank. Dále také cílí na několik nástrojů pro ukládání kryptoměn – Ledger, Metamask nebo Exodus.
Samotný kit Spiderman se pak prezentuje jako „kompletní phishingová platforma“. Útočník si v ovládacím panelu jen vybere cílovou banku a kit automaticky vytvoří – jak se sám honosí – „do posledního pixelu“ věrnou kopii přihlašovací stránky. Oběti pak v typickém scénáři procházejí několika kroky, kde jsou vyzvány k zadání uživatelského jména a hesla, kódu dvoufaktorového ověřování (kit zvládá OTP i PhotoTAN), popř. údajů o kreditní kartě či dalších osobních dat.
V dashboardu útočník v reálném čase vidí všechny vstupy zadávané oběti a může s ní dále interagovat. Dle potřeby, např. v situaci, kdy po něm souběžně probíhající proces přihlašování do reálné bankovní aplikace oběti požaduje doplňující data, může např. zažádat o jejich zadání, čímž se zvyšuje pravděpodobnost úspěšného obejití vícefaktorového ověření a následné riziko úspěšného splnění cíle útoku, tedy provedení podvodných transakcí z napadeného účtu.
Spiderman používá také vlastní obranu proti odhalení:
- Whitelist podle zemí — zobrazuje phishing jen vybraným zemím (např. Německo, Belgie)
- Filtrace podle poskytovatelů připojení (ISP/ASN) — blokuje známé cloudové služby, VPN nebo skenery bezpečnostních organizací
- Filtrace typu zařízení — útočník cílí jen na určité přístroje (mobil, desktop, Android, iOS)
- Přesměrování uživatelů, kteří nejsou zamýšlenou obětí, na legitimní stránky.
Za zvláštní zmínku stojí nebezpečná schopnost Spidermana zachytit jednorázové ověřovací kódy (OTP), včetně PhotoTAN, které mnoho evropských bank využívá k potvrzení transakcí. Oběti pak mimo finance také mohou přijít o citlivá osobní data, neboť kit během interakce od obětí sbírá a uchovává kompletní informace, včetně získaných přihlašovacích údajů, jména, adresy, data narození, údajů o kreditních kartách, a technické informace o použitém zařízení — což dále umožňuje podvody typu SIM swap, podvody s kreditními kartami a další zneužití identity.
Za úniky dat stál 19letý mladík ze Španělska
Vyšetřování započaté španělskou policií letos v červnu postupně přivedlo policii k mladému muži z města Igualada poblíž Barcelony. Do hledáčku kriminalistů se dostal poté, co několik firem nahlásilo rozsáhlé úniky dat. Důkazy sesbírané policisty ukázaly na 19letého Španěla, který byl v důsledku vyšetřování zatčen na počátku prosince. Policie nakonec potvrdila, že podezřelý získal a shromáždil kolem 64 milionů záznamů, které obsahovaly celá jména, adresy, e-maily, telefonní čísla, údaje z národních identifikačních dokladů (DNI) i bankovní IBANy. Data pocházela z devíti různých společností.
Podle vyšetřovatelů se mladý muž pokoušel tato data prodávat na hackerských fórech. Aby skryl svou identitu, používal až šest účtů a pět různých přezdívek. Při domovní prohlídce policie zabavila několik počítačů a hardwarových kryptopeněženek. Vyšetřovatelé také zmrazili krypto peněženku, která byla údajně používána k přijímání výnosů z prodeje.
Vyšetřování naznačuje, že dotyčný vedl poměrně dobře organizovanou operaci. Využíval několik digitálních identit, aby zakryl své stopy a získal přístup do různých hackerských komunit. Mladý Španěl tak čelí obvinění z kyberkriminality, porušení zákonů o ochraně osobních údajů a neoprávněného přístupu k tajným informacím a jejich zveřejňování.
Nové zranitelnosti v produktech od Ivanti, Fortinet a SAP
Ivanti: kritické zranitelnosti v Endpoint Manageru
Nejzásadnější zranitelnost je CVE-2025–10573 - stored XSS ve webovém rozhraní Ivanti Endpoint Manager (EPM), mající skóre 9.6, pokud byl systém dostupný z internetu. Útočník s neautentizovaným přístupem mohl připojit falešné „managed endpointy“, čímž infikoval administrační dashboard. Jakmile si administrátor dashboard zobrazil, spustil se útočníkův skript – mohl tak ukrást session nebo převzít kontrolu nad konzolí.
Další dvě chyby oznámené v prosinci: CVE-2025–13659 a CVE-2025–13662 - podle oficiálního oznámení Ivanti umožňují vzdálené spuštění kódu (RCE) bez autentizace v Endpoint Manageru.
Fortinet: autentizační a kryptografické chyby
Kritické zranitelnosti označené jako CVE-2025–59718 a CVE-2025–59719 ovlivňují FortiOS, FortiProxy, FortiWeb a FortiSwitchManager. Chyba v ověřování kryptografických podpisů umožňuje obejít SAML/SSO autentizaci a získat administrátorský přístup bez přihlašovacích údajů a je hodnocena vysokým skóre 9.8.
SAP: kritické chyby napříč produkty
Nejzávažnější zjištěná chyba je CVE-2025–42880 - code injection v SAP Solution Manager (ST 720) s CVSS skóre 9.9. Nízko privilegovaný útočník může spustit libovolný kód a plně kompromitovat systém.
Dále chyba CVE-2025–55754 postihuje SAP Commerce Cloud – zranitelnost v embedded Tomcat komponentě umožňující vzdálené zneužití.
Také CVE-2025–42928 v SAP jConnect představuje kritickou deserializační chybu v SDK pro ASE.
Ve zkratce
- Nové zranitelnosti v React RSC umožňují DoS útoky a vystavení zdrojového kódu
- Microsoft vydává bezpečnostní opravy pro 56 chyb
- Google opravuje Zero-Day zranitelnost v prohlížeči Chrome
- Výzkumníci objevili škodlivé balíčky pro VS Code, Go, npm a Rust
Pro pobavení
What people think…
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
