2,15M servizi web Next.js esposti online, segnalati attacchi attivi

Le squadre di sicurezza di tutto il mondo stanno lavorando per patchare i sistemi dopo la divulgazione di una vulnerabilità critica di React, CVE-2025-55182, conosciuta come “React2Shell”. La vulnerabilità colpisce React Server Components (RSC) e ha un punteggio CVSS massimo di 10, il più alto possibile, che indica un impatto critico e una facilità di sfruttamento.

I dati di Censys mostrano che oltre 2,15 milioni di servizi internet-facing utilizzano tecnologie che potrebbero essere interessate, tra cui applicazioni costruite con Next.js, Waku, React Router RSC, Vite RSC, Parcel RSC e RedwoodSDK. Mentre non tutti questi casi sono confermati vulnerabili, l’impronta esposta è massiccia e lo sfruttamento attivo è già iniziato.

La vulnerabilità si trova nel modo in cui React Server Components e pacchetti correlati gestiscono i dati inviati agli endpoint delle funzioni del server. I pacchetti server-side di React (react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack) eseguono una deserializzazione non sicura dei payload JSON. Un attaccante non autenticato può inviare una richiesta HTTP appositamente creata a un endpoint vulnerabile, forzando il server a eseguire codice JavaScript arbitrario.

Le squadre di sicurezza di AWS hanno osservato attori minacciosi di origine cinese che iniziano a sfruttare React2Shell entro 24 ore dalla divulgazione pubblica. I gruppi segnalati, tra cui Earth Lamia e Jackpot Panda, stanno utilizzando la vulnerabilità per ottenere l’accesso iniziale e quindi distribuire shell web, backdoor e ulteriore strumentazione. La CISA ha aggiunto CVE-2025-55182 al catalogo delle vulnerabilità note (KEV), confermando che la vulnerabilità è attivamente utilizzata in attacchi reali e deve essere trattata come una priorità per le reti federali e private.

I fornitori hanno già rilasciato correzioni. React ha spedito versioni corrette 19.0.1, 19.1.2 e 19.2.1, mentre Next.js ha pubblicato diverse versioni corrette in tutte le branch supportate. Le organizzazioni sono fortemente consigliate di inventariare tutti gli asset internet-facing che utilizzano React Server Components, Next.js o altri framework elencati, confermare le versioni dei pacchetti e dei framework, dare priorità ai sistemi raggiungibili da internet e aggiornare immediatamente alle versioni corrette.