Kritisk sårbarhed udnyttes aktivt

Situationscenteret hos Forsvarets Efterretningstjeneste varslede den 3. december om en kritisk sårbarhed i React Server Components i React/Next.js, kendt som React2Shell (CVE-2025-55182).

Situationscentret har oplyst, at der fortsat er danske systemer, som ikke er patch’et. SAMSIK opfordrer derfor alle organisationer til straks at undersøge, om de anvender sårbare versioner, og patch’e hurtigst muligt.

Sårbarheden gør det muligt for en angriber at gennemføre uautoriseret fjernkodeeksekvering (Remote Code Execution, RCE) på sårbare systemer. Det kan i praksis give angriberen adgang til data, mulighed for at ændre systemet eller i værste fald overtage systemet.

Situationscenteret har endnu ikke observeret udnyttelse i Danmark, men ser fortsat flere danske systemer eksponeret i sårbare versioner. Samtidig meldes der om aktiv udnyttelse internationalt, hvilket øger risikoen for, at også danske systemer kan blive ramt, hvis de ikke opdateres.

Hvem kan være berørt?

Organisationer kan være berørt, hvis de anvender:

• React-løsninger med React Server Components / Server Functions, ofte via
  Next.js eller andre moderne React-rammer.

React/Next.js anvendes bredt i webapplikationer.

Hvad skal I gøre nu?

SAMSIK opfordrer alle organisationer til at handle straks:

1. Opdater/patch straks til versioner, hvor sårbarheden er rettet.
2. Undersøg om I kan være ramt, fx ved at gennemgå relevante logs og se efter tegn på uautoriseret aktivitet.

Situationscentret kontakter organisationerne direkte, når/hvis de identificeres som ejere af sårbare systemer.