Gli analisti Sophos stanno indagando sullo sfruttamento diffuso di una vulnerabilità critica denominata “React2Shell”, che interessa React Server Components nelle versioni 19.0.0, 19.1.0, 19.1.1 e 19.2.0. Questa vulnerabilità (CVE-2025-55182) è stata divulgata da React il 3 dicembre 2025 ed è stata classificata con un punteggio CVSS di 10.0.
Dettagli della vulnerabilità
React2Shell è una falla nel modo in cui i React Server Components gestiscono i dati inviati dal browser dell’utente al server. Colpisce alcune versioni dei pacchetti server-side di React che elaborano le richieste tramite il protocollo “Flight”, il meccanismo usato per inviare dati dei componenti e azioni del server tra client e server. Molti framework basati su React Server Components, come Next.js, risultano indirettamente vulnerabili perché utilizzano la stessa logica di deserializzazione.
La vulnerabilità è causata dalla gestione non sicura dei dati in arrivo quando il server converte le richieste di rete in oggetti JavaScript. Quando un client invia una richiesta, React “deserializza” i dati, traducendoli in strutture interne che il server può utilizzare. A causa di una validazione insufficiente, un attaccante può inviare una richiesta appositamente costruita che non segue il formato previsto. Invece di rifiutare l’input alterato, il server lo elabora e consente ai dati dell’aggressore di interferire con l’esecuzione interna del codice dell’applicazione.
Leggi tutto l’articolo.
Lascia un commento