A Cloudflare informou que a instabilidade global registrada na manhã desta sexta-feira (5) foi causada por uma correção aplicada às pressas para conter uma vulnerabilidade crítica no React. A medida tinha como meta proteger os clientes, mas provocou queda de diversos serviços ao redor do mundo devido à falha identificada como CVE-2025-55182 e apelidada de “React2Shell”.
A vulnerabilidade tem origem no protocolo Flight, utilizado pelos React Server Components (RSC), e abre a possibilidade de que pedidos HTTP maliciosos enviados por um atacante não autenticado sejam interpretados pelo servidor de forma incorreta, permitindo execução remota de código em aplicações baseadas em React e Next.js.
Em comunicado, o CTO da companhia, Dane Knecht, reconheceu a gravidade do ocorrido. “Você pode ler os detalhes do que deu errado no post oficial. Nós decepcionamos a Internet novamente; estamos bloqueando todas as mudanças para garantir que tenhamos sistemas melhores de mitigação e reversão antes de retomar qualquer alteração.”
O problema começou pouco antes das 6h da manhã no Brasil e gerou erros generalizados em diversas páginas hospedadas na infraestrutura da empresa, inclusive sites financeiros e corretoras de criptomoedas. A falha durou cerca de 25 minutos, tempo suficiente para impactar uma fatia relevante do tráfego global.
Segundo a Cloudflare, a origem do incidente foi uma alteração interna feita para ajustar como certos serviços processam informações enviadas pelos usuários. O objetivo era impedir que aplicações que usam React fossem exploradas por uma vulnerabilidade recém-identificada. A mudança, porém, desencadeou comportamentos inesperados em partes mais antigas da infraestrutura, levando alguns servidores a uma falha em série.
A empresa informou que conseguiu reverter rapidamente a configuração, restaurando a operação. De acordo com o comunicado, a empresa reforça que vai revisar seus processos internos, adotando validações mais rígidas e fortalecendo mecanismos de segurança e de reversão rápida para evitar que ajustes pontuais causem interrupções globais.
O outro episódio de instabilidade ocorreu no último mês, a Cloudflare informou, por meio de atualizações feitas no espaço de status de rede no seu portal oficial, que estava enfrentando uma degradação interna nos serviços de tráfego de rede, o que tem gerado instabilidades intermitentes em diversos domínios. Devido a esse incidente, sites como X, ChatGPT, Canva, Letterboxd, Snapchat, Reddit, Amazon, entre vários outros ficaram impossibilitados de serem acessados. A companhia afirmou que responde pelo tráfego de quase 20% de todos os websites pelo mundo, e possui datacenters espalhados em 330 cidades pelo mundo – incluindo em 33 municípios do Brasil.
