Here is the rewritten title in Italian:“La vulnerabilità React2Shell sfruttata per violare 30 organizzazioni, 77mila indirizzi IP a rischio”

Oltre 77.000 indirizzi IP esposti su Internet sono vulnerabili alla critica vulnerabilità di esecuzione di codice remoto React2Shell (CVE-2025-55182), con ricercatori che confermano che gli attaccanti hanno già compromesso oltre 30 organizzazioni in diversi settori.

React2Shell è una vulnerabilità di esecuzione di codice remoto non autenticata che può essere sfruttata tramite una singola richiesta HTTP e colpisce tutti i framework che implementano React Server Components, compreso Next.js, che utilizza la stessa logica di deserializzazione. I ricercatori hanno scoperto che gli attaccanti hanno già iniziato a sfruttare la vulnerabilità, con oltre 77.000 indirizzi IP vulnerabili rilevati dal gruppo di watchdog Shadowserver.

I ricercatori hanno determinato che gli indirizzi IP erano vulnerabili utilizzando una tecnica di rilevamento sviluppata da Searchlight Cyber/Assetnote, dove è stata inviata una richiesta HTTP ai server per sfruttare la vulnerabilità e una risposta specifica è stata controllata per confermare se un dispositivo era vulnerabile. GreyNoise ha registrato 181 indirizzi IP distinti che tentavano di sfruttare la vulnerabilità nelle ultime 24 ore, con la maggior parte del traffico che sembra automatizzato.

Palo Alto Networks segnala che oltre 30 organizzazioni sono già state compromesse tramite la vulnerabilità React2Shell, con gli attaccanti che sfruttano la vulnerabilità per eseguire comandi, condurre attività di ricognizione e tentare di rubare file di configurazione e credenziali AWS. Queste violazioni includono intrusioni legate a noti attori di minaccia associati allo stato cinese.

Le organizzazioni che utilizzano React Server Components o framework costruiti su di essi sono consigliate di applicare gli aggiornamenti immediatamente, ricostruire e ridistribuire le loro applicazioni e verificare i registri per segni di esecuzione di comandi PowerShell o shell. La vulnerabilità React2Shell è stata aggiunta al catalogo delle vulnerabilità sfruttate conosciute (KEV) di CISA, che richiede alle agenzie federali di applicare patch entro il 26 dicembre 2025.