Vulnerabilità Critica React2Shell Aggiunta alla Lista CISA KEV Dopo Esploitation Attiva Confermata

L’Agenzia di sicurezza cibernetica e infrastrutturale degli Stati Uniti (CISA) ha aggiunto formalmente una grave vulnerabilità di sicurezza che colpisce i componenti del server React (RSC) al suo catalogo di vulnerabilità sfruttate (KEV) a seguito di rapporti di sfruttamento attivo nel mondo. La vulnerabilità, CVE-2025-55182 (punteggio CVSS: 10,0), riguarda un caso di esecuzione di codice remoto che potrebbe essere attivato da un attaccante non autenticato senza richiedere alcuna configurazione speciale.

La vulnerabilità, conosciuta anche come React2Shell, si verifica a causa di una deserializzazione non sicura nella libreria Flight, utilizzata da React per comunicare tra un server e un client. Ciò porta a uno scenario in cui un attaccante remoto non autenticato può eseguire comandi arbitrari sul server inviando richieste HTTP appositamente create. La vulnerabilità è stata risolta nelle versioni 19.0.1, 19.1.2 e 19.2.1 delle librerie react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack.

Alcune delle principali piattaforme che dipendono da React sono anche state colpite, tra cui Next.js, React Router, Waku, Parcel, Vite e RedwoodSDK. Diverse aziende di sicurezza hanno segnalato tentativi di attacco che sfruttano la vulnerabilità, indicando che più attori minacciosi stanno conducendo attacchi opportunistici. Secondo i dati condivisi da Censys, ci sono circa 2,15 milioni di istanze di servizi internet che potrebbero essere colpite da questa vulnerabilità.