The React2Shell Story and What Happened Next.js sylvie.fyi/posts/react2shell…

(2/n) 他、Opus 4.8 水準のモデル＋ハーネスがあれば、割と必要なくらいのペネトレーションテストはできるのでは、という感覚もあります。安くてぶん回せるなら当然みんな Mythos クラスのモデルが使えるといいのだけど、思いの外高いし💸、アクセスが広く一般になるまでは、まずこの水準で実施しておくのが重要そうです。 ＊＊＊ 前提、Mythos 5＝Fable 5 と同一のウェイト、ナーフ前と Fable 5 のベンチマークは、System Card で公開されている範囲＝添付画像1つめの3.2 以下に並んでいるものでは、若干 Binary Exploitation 寄りです。これは Mythos 5/Fable 5 に限らずそんな感じです。 この領域で性能向上しているならば、他種別の何か（対 Web システムとか）に対する侵害能力も上がっているはず、とは想定します。あとこのスコアの伸びは普通にすごい！というところです。シンプルに Mythos/ナーフなしFableが世に放たれたとき、世が帯びるリスクは、この分だけ増大すると思う。 （色んな人が、面倒な脆弱性が見つけられる上、刺せるようになる、という点で。前書いた通り、攻撃者の意図が変わるわけではないものの、武器は増える。） ＊＊＊ ただそもそも、Binary Exploitation などに比べれば、通常のシステム侵害は大抵もっとシンプルでは？というのが思い返すべき点です。かつそんなに高度な pwn 要るかなという。 ここから、一旦人経由の侵害は除いて論じますが： 世の中のシステム侵害、今以上の知性要らないと思うんですよね。たとえばシステム入口の初期侵入ならば、定石は、素直に外から喋りやすい機器（VPN機器とか）や公開サービスの N-day 使うとか、謎に無防備なアタックサーフェス叩くとかになります。 ここで、N-day の悪用は PoC 落ちてれば別にモデルは賢い必要そこまでありません（たとえば React2Shell の悪用のように）。 仮に PoC 落ちてなくても、Opus 4.8 くらいがあれば、かなり脆弱性情報からの Exploit 生成ができる状況になっています。Anthropic 自身が公開している以下のリサーチから引けば、18 CVEs に対して Exploit を書かせる実験で、Opus 4.5 では 2 件しか Exploit が書けなかったところが、Opus 4.8 の頃には既に 11 件（6.1割）。Mythos Preview は 14 件。仮に pwn 的なことが必要な場合でも、Opus 4.8 時点でも、ある程度 offsec 的に使い物になる水準だと思います。 red.anthropic.com/2026/n-day…（画像2枚目は以下より） あとそもそも謎アタックサーフェスがある、そこで地味に漏れてる、異常に古い何かが動いている、みたいなケースも十分あるあるだと思います。 初期侵入後、たとえばラテラルは、より簡単なケースが多いようにも思います。何だかんだまだ「境界内」扱いなところが多いので。クラウドでも端末でも、大抵そのへんに適当な認証情報が落ちてたり、いうて初期侵入さえできれば何か使えるもの落ちてるでしょ、という感覚（特に非コーポレート環境系。たとえば開発環境や、場合によっては本番環境も）。 ＊＊＊ さて、ここまで踏まえてですが： 「Opus 4.8 でのセルフチェックでは予めリスク発見＆低減できなくて、Mythos クラスがが出てきてやられちゃうところ」って何？と考えると、案外これが思い浮かばないわけです。 （A)「Opus 4.8 水準で見つけられない、Mythosクラスが発見に必要な脆弱性」で自社が殴られるシナリオ （B）「Opus 4.8 水準では攻略しきれなかったが、Mythos クラスであれば、脆弱性発見＆自動 Exploit で攻略しきれるシステム」が問題になるシナリオ … の何れかなんでしょうが、これは一般企業が作る一般的なソフトウェアでは大分減ってるんじゃないかなと。（A）はブラウザだとか、大きなシステムに関してはある気がするけれど、たとえば普通の規模SaaSや社内システムくらいにあるとは思いにくい。（B）は侵害時、とてつもない pwn を要求される脆弱性が必要という話ではない限り、これも沢山あるとは思いにくい。 「Sonnet 3.5 でのセルフチェックでは予めリスク発見＆低減できなくて、Opus 4.8 クラスがが出てきてやられちゃうところ」は沢山あるように思うので、素直に Opus 4.8 の到達地点が素晴らしい、という話に終始するのですが。 ＊＊＊ というわけで、今後 Mythos 水準のモデルが引き続きの非公開となるならば、まずは Opus 4.8 水準で、ある程度自組織の粗を出せるのが望ましいようには思います。Opus 4.5 あたりだとちょっと足りないかなという感覚です。参考までにで。

重大な脆弱性は、公開から数日で攻撃に使われる前提で備える必要があります。 JPCERT/CCのReact2Shell事例では、Web改ざんだけでなく、バックドアやRAT設置も確認されています。 中小企業でも、外部公開サイト・VPN・業務サーバの「担当者」「更新手順」「侵害確認ログ」を今のうちに確認しておきたいところです。 引用元 JPCERT/CC Eyes「React2Shellを悪用する複数の攻撃アクターによる侵害事例」 / JPCERT/CCのX投稿 blogs.jpcert.or.jp/ja/2026/0… x.com/jpcert/status/20221306…

GitHub - Jenderal92/CVE-2025-55182-React2shell: CVE-2025-55182 Exploit Tool – Python 2.7 exploit for Next.js prototype pollution leading to RCE · GitHub github.com/Jenderal92/CVE-20…

React2Shellの悪性クローラー、Action "x" だと弾かれるから Action "dx" にしてておもろい 微分すな

Shai-Huludで悪名を広げたTeamPCPだが、専門家は「高度APTというより、開発者の信頼構造を巧みに悪用する実戦型犯罪集団」と分析している。VS Code拡張やnpm汚染を通じ、ソフトウェア供給網への攻撃を拡大中だ。 TeamPCPは2025年後半に台頭し、React2ShellやDocker API設定不備を悪用して活動を拡大した。その後、自律感染型ワーム「Shai-Hulud」を使い、汚染npmパッケージ経由で開発者環境へ侵入。感染した開発者が更新した別パッケージにも悪性コードが広がる連鎖型サプライチェーン攻撃を展開した。 最近ではGitHub社員が改ざんVS Code拡張を導入し、約4000件のプライベートリポジトリが流出した事件にも関与したと主張している。 研究者らは、TeamPCPの特徴は高度ゼロデイではなく「信頼済みツール悪用」にあると指摘。AI支援偵察やSNS型マーケティングも活用し、開発者が日常的に使う拡張機能やOSS配布経路を標的化している。 一方で、攻撃手法自体は中堅サイバー犯罪レベルとの見方もあり、「優れた宣伝力と狙いの巧さ」で存在感を急拡大させたグループと評価されている。 darkreading.com/application-…

Five incidents in the last 72 hours all weaponised something a developer was supposed to trust by default. TrapDoor is planting .cursorrules and CLAUDE.md inside malicious npm, PyPI, and Crates.io packages so the developer's own AI assistant runs the "security scan" that exfiltrates the secrets. Megalodon authenticated as 5,500 real developers using tokens still live in their CI environments and pushed malicious commits under their identities. A third-party SquidRouterModule drained $3.2M from 86 Gnosis Safes on Base and Ethereum because the contract was verified under a name the Safe owners already trusted. Microsoft pulled the entire GitHub account of a researcher disclosing CVEs the same vendor was responsible for patching. The DFIR Report tracked a React2Shell mass-exploitation pipeline using an AI coding agent as its operator-side harness against 900 successful targets. The pattern sits one layer up from the individual incidents. The AI assistant, the CI credentials, the multisig module, the bug-bounty platform, and the agent harness all sit on the trust surface a digital asset firm assumes is on its side, and each of them is the entry point this week to the validator keys, custody signing flows, bridge relayer secrets, and exchange admin sessions on the same workstations and in the same vaults. DLTA maps that intelligence-to-control loop for the trust surface that asset inventories never list as attack surface. #SupplyChainSecurity #Web3Security #CTI #ThreatIntel

I don’t think so. In my experience, AI is good at finding vulnerabilities when the source and sink are obvious. But beyond that, it tends to rely heavily on assumptions, which can be misleading if you don’t have a solid background in code analysis. React2Shell is a great example - it’s a highly complex, multi-stage vulnerability chain that’s extremely difficult for AI to identify for sure.

I don’t think so. In my experience, AI is good at finding vulnerabilities when the source and sink are obvious. But beyond that, it tends to rely heavily on assumptions, which can be misleading if you don’t have a solid background in code analysis. React2Shell is a great example - it’s a highly complex, multi-stage vulnerability chain that’s extremely difficult for AI to identify for sure.

Did he already found a complex bug like react2shell ? NO So the short answer is no

Can Mythos find React2Shell and exploit it?

Ironic that aegis.cool/ is a security based thingy, yet is vulnerable to react2shell rce... yikes

Next.js Weekly #130: - Critical Next.js Security Release - Fate: a new data client - The React2Shell Story - Are Server Functions APIs? - Files SDK: One SDK for 18 Storage Providers - Tailwind CSS v4.3 fulle version: nextjsweekly.com/issues/130 nextjsweekly.com/issues/130

We identified a large-scale React2Shell (CVE-2025-55182) operation that scanned millions of targets and confirmed 900 successful exploits. Logs showed an automated pipeline for exploitation, hit scoring, alerting, and secret harvesting. Claude Code and OpenClaw were used as an operator-side harness supporting exploitation activity and workflow orchestration. Read the full case: thedfirreport.com/2026/04/22…

Webサービスのデータ処理に広く使われるRedisを狙うボットネット「P2Pinfect」が、侵入経路を拡大しています。モバイルアプリ開発に使うReactNative開発サーバーの脆弱性「Metro4Shell」も新たなノード獲得手段に使われていたと報告。インターネットに露出したRedisサーバーを足がかりに複数企業のGoogleのKubernetes環境（GKE）へ侵入し、最長6か月にわたり追加の攻撃コードを実行しないまま潜伏していた事例もあったとのことです。 感染端末数の最大化を優先してアクセス権を外部に販売する、貸し出し型ボットネットとしての運用も示唆されています。 感染端末同士が直接通信するP2P方式で中央の指令サーバーを持たないため、封じ込めが難しいボットネットでもあります。 【要点の整理】 ・P2Pinfectの既知の侵入経路はRedisのLuaサンドボックス脱出（CVE-2022-0543）やレプリケーション機能（SLAVEOFコマンド）の悪用。今回新たにMetro4Shell（CVE-2025-11953、React Native Metro開発サーバーの未認証RCE）経由でのクライアント展開が確認された ・RediShell（CVE-2025-49844）も低確度ながら侵入経路の可能性が指摘されている。CVE-2022-0543と同種のLuaサンドボックス脱出で、侵害ホストのパッチ未適用時期と一致するとのこと ・新たに特定されたデプロイスクリプトはP2Pinfectクライアントを取得し、ストリーム暗号ChaCha20で難読化された引数を渡して実行する構成。ただし暗号鍵と使い捨て値（nonce）が全バイトゼロで、暗号化は実質装飾にすぎない ・侵害ノードの一部ではクリプトマイナーも確認されたが、これは別のReact2Shellキャンペーンによるもの。P2Pinfect自体は過去にランサムウェアやマイナーの展開実績があり、ユーザーモードのルートキット機能を持つ亜種も存在する 詳細は以下を参照： fortinet.com/blog/threat-res…

🐍 AI-first security scanner with 9,600 detection patterns for LLM apps, AI agents, MCP servers, and modern codebases. MEDUSA detects: • Prompt injection & jailbreaks • MCP tool poisoning & repo poisoning • AI editor config attacks • RAG and agent vulnerabilities • 200 CVEs including Log4Shell, LangChain RCE, React2Shell, and XZ Utils backdoor Built for AI security engineers, red teamers, AppSec teams, and developers. Works on Windows, Linux, and macOS with JSON, HTML, Markdown, and SARIF reports. 🔗 github.com/Pantheon-Security… #AISecurity #LLMSecurity #CyberSecurity #AppSec #MCP #DevSecOps

nginx-rift脆弱性見てみたけど、この流れに近いのどこかで見たことあると思ったらreact2shellだ どっちもオブジェクト（構造体）を偽装してsystem(command)走らせるのがなんとなく似ている そこまでの経緯はnginx側はheap overflowだしreact側はプロトタイプ汚染からのオブジェクト組み立てだけど

𝗥𝗲𝘀𝗲𝗮𝗿𝗰𝗵 𝗪𝗼𝗿𝘁𝗵 𝗥𝗲𝗮𝗱𝗶𝗻𝗴 - 𝗪𝗲𝗲𝗸 𝟮𝟬, 𝟮𝟬𝟮𝟲 Maybe it was all marketing... 🐚 𝗧𝗵𝗲 𝗥𝗲𝗮𝗰𝘁𝟮𝗦𝗵𝗲𝗹𝗹 𝗦𝘁𝗼𝗿𝘆 𝗮𝗻𝗱 𝗪𝗵𝗮𝘁 𝗛𝗮𝗽𝗽𝗲𝗻𝗲𝗱 𝗡𝗲𝘅𝘁.𝗷𝘀 It's rare to see this side of security research, especially for vulnerabilities with this level of impact: sylvie.fyi/posts/react2shell…. 🏛️ 𝗠𝘆𝘁𝗵𝗼𝘀 𝗳𝗶𝗻𝗱𝘀 𝗮 𝗰𝘂𝗿𝗹 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝘆 After the apocalypse announcement, it is refreshing to get real information from Daniel Stenberg: daniel.haxx.se/blog/2026/05/…. 🤖 𝗖𝗹𝗮𝘂𝗱𝗲 𝗖𝗼𝗱𝗲 𝗥𝗖𝗘: 𝗘𝘅𝗽𝗹𝗼𝗶𝘁𝗶𝗻𝗴 𝗗𝗲𝗲𝗽𝗹𝗶𝗻𝗸 𝗛𝗮𝗻𝗱𝗹𝗲𝗿𝘀 𝘃𝗶𝗮 𝗦𝗲𝘁𝘁𝗶𝗻𝗴𝘀 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 Really interesting to see how the Claude Code team decided to handle option parsing for deep links and the impact of this choice: 0day.click/recipe/2026-05-12….

Part 1 - Cobalt, accessed March 9, 2026, cobalt.io/blog/common-miscon… Electron Security - Best Practices, CSP, Sandboxing - Emad Ibrahim, accessed March 9, 2026, emadibrahim.com/electron-gui… Security | Electron, accessed March 9, 2026, electronjs.org/docs/latest/t… Context isolation is disabled in Electron (JS-S1020) ・ JavaScript - DeepSource, accessed March 9, 2026, deepsource.com/directory/jav… security-patterns | Skills Marketplace - LobeHub, accessed March 9, 2026, lobehub.com/skills/andyngdz-… electron-best-practices | Skills Mar... - LobeHub, accessed March 9, 2026, lobehub.com/skills/jwynia-ag… Process Sandboxing | Electron, accessed March 9, 2026, electronjs.org/docs/latest/t… awesome-cursor-rules-mdc/rules-mdc/electron.mdc at main - GitHub, accessed March 9, 2026, github.com/sanjeed5/awesome-… Electron 'contextBridge' - javascript - Stack Overflow, accessed March 9, 2026, stackoverflow.com/questions/… contextBridge - Electron, accessed March 9, 2026, electronjs.org/docs/latest/a… Untitled document, drive.google.com/open?id=1Rj… CVE-2023-32689 Detail - NVD - NIST, accessed March 9, 2026, nvd.nist.gov/vuln/detail/CVE… CVSS v3.1 Specification Document - Forum of Incident Response and Security Teams, accessed March 9, 2026, first.org/cvss/v3.1/specific… CVE-2024-3082 Detail - NVD, accessed March 9, 2026, nvd.nist.gov/vuln/detail/CVE… Move from keytar to Electron's safeStorage API. · Issue #1656 · CheckerNetwork/desktop, accessed March 9, 2026, github.com/CheckerNetwork/de… safeStorage | Electron, accessed March 9, 2026, electronjs.org/docs/latest/a… Replacing Keytar with Electron's safeStorage in Ray | freek.dev, accessed March 9, 2026, freek.dev/2103-replacing-key… Cross Site Scripting Prevention - OWASP Cheat Sheet Series, accessed March 9, 2026, cheatsheetseries.owasp.org/c… React Server Components Face New Security Challenges: What Developers Need to Know, accessed March 9, 2026, dataalgo.medium.com/react-se… Critical Vulnerabilities in React and Next.js - Information Security Office, accessed March 9, 2026, security.berkeley.edu/news/c… React2Shell (CVE-2025-55182): Critical React Vulnerability | Wiz Blog, accessed March 9, 2026, wiz.io/blog/critical-vulnera… Critical Security Vulnerability in React Server Components, accessed March 9, 2026, react.dev/blog/2025/12/03/cr… Fixing the script: Journey to reduce XSS exposure - Microsoft, accessed March 9, 2026, microsoft.com/en-us/msrc/blo… Trusting AI Output? Why Improper Output Handling is the New XSS - Auth0, accessed March 9, 2026, auth0.com/blog/owasp-llm05-i… What Is Cross-Site Scripting (XSS)? - Palo Alto Networks, accessed March 9, 2026, paloaltonetworks.com/cyberpe… OWASP Top 10 for Large Language Model Applications, accessed March 9, 2026, owasp.org/www-project-top-10… OWASP Top 10 for Agentic Applications for 2026, accessed March 9, 2026, genai.owasp.org/resource/owa… AI Prompt Injection in Healthcare: Hidden Cybersecurity Risk - Clearwater, accessed March 9, 2026, clearwatersecurity.com/blog/… Fooling AI Agents: Web-Based Indirect Prompt Injection Observed in the Wild, accessed March 9, 2026, unit42.paloaltonetworks.com/… Update Script Tools API to include WebMCP proposed methods [445637567] - Chromium, accessed March 9, 2026, issues.chromium.org/issues/4… WebMCP Early Preview, drive.google.com/open?id=1rt…

If you run Next.js App Router / React Server Components and still haven’t patched React2Shell: Do it now. Even better, have an automation running every day that catches these and doesn’t let you ship anything until they’re patched. react.dev/blog/2025/12/03/cr…