Cloudflare spiega il blocco odierno sui mitigamenti di React2Shell

Earlier oggi, Cloudflare ha subito un’interruzione diffusa che ha causato il blocco di siti web e piattaforme online in tutto il mondo, restituendo un messaggio di errore interno del server 500. La società di infrastrutture internet ha ora attribuito l’incidente al rollout di mitigazioni di emergenza progettate per affrontare una vulnerabilità critica di esecuzione di codice remoto in React Server Components, che è attualmente sfruttata in attacchi.

Il problema non è stato causato, direttamente o indirettamente, da un attacco informatico ai sistemi di Cloudflare o da un’attività maligna di alcun tipo. Al contrario, è stato scatenato da modifiche apportate alla logica di parsing del corpo mentre si tentava di rilevare e mitigare una vulnerabilità a livello di settore divulgata questa settimana in React Server Components, come notato da Dane Knecht, CTO di Cloudflare, in un post-mortem. Un subset di clienti è stato interessato, rappresentando circa il 28% di tutto il traffico HTTP gestito da Cloudflare.

La vulnerabilità, seguita come CVE-2025-55182, è una falla di sicurezza di massima gravità (chiamata React2Shell) che colpisce la libreria open-source JavaScript React per interfacce utente web e native, nonché framework dipendenti da React come Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc e RedwoodSDK. La vulnerabilità è stata trovata nel protocollo ‘Flight’ di React Server Components (RSC) e consente agli attaccanti non autenticati di eseguire codice remoto in applicazioni React e Next.js inviando richieste HTTP malformate agli endpoint delle funzioni del server React.

Sebbene l’impatto non sia così ampio come inizialmente creduto, i ricercatori di sicurezza di Amazon Web Services (AWS) hanno segnalato che più gruppi di hacking collegati alla Cina (compresi Earth Lamia e Jackpot Panda) hanno iniziato a sfruttare la vulnerabilità React2Shell poche ore dopo la divulgazione della falla di massima gravità. Il NHS England National CSOC ha anche affermato che sono già disponibili diversi exploit di prova del concetto funzionali per CVE-2025-55182 e ha avvertito che la continua esecuzione di successo in wild è molto probabile.