I team di sicurezza a livello globale sono in massima allerta a seguito della divulgazione di una grave vulnerabilità nella libreria JavaScript React. Denominata React2Shell (CVE-2025-55182), questa falla critica consente l'esecuzione remota di codice (RCE) senza autenticazione ed è già oggetto di sfruttamento attivo su larga scala.
Cos'è React2Shell?
React2Shell è una vulnerabilità che colpisce i React Server Components (RSC), nello specifico le versioni 19.0.0, 19.1.0, 19.1.1 e 19.2.0. Sfrutta una debolezza nel modo in cui queste versioni decodificano i payload inviati ai React Function Endpoints.
L'impatto è catastrofico: creando una specifica richiesta HTTP maligna verso un endpoint di Server Function, un attaccante può eseguire codice arbitrario sul server bersaglio senza bisogno di alcuna autenticazione. Questo garantisce di fatto il controllo totale sulla macchina compromessa.
Sfruttamento Attivo
A differenza di molte vulnerabilità che rimangono teoriche per settimane, React2Shell è stata armata immediatamente. Rapporti di AWS e altre aziende di threat intelligence indicano che attori supportati da stati nazione, in particolare quelli con legami con la Cina (come i gruppi tracciati come 'Earth Lamia' e 'Jackpot Panda'), sono stati osservati sfruttare questa falla poche ore dopo la sua divulgazione.
"La Cina continua ad essere la fonte più prolifica di attività di minaccia cyber sponsorizzata dallo stato, rendendo operativi exploit pubblici entro pochi giorni dalla divulgazione." — AWS Threat Intelligence
Con una stima di oltre 950.000 server potenzialmente in esecuzione con versioni vulnerabili di framework come React e Next.js, la superficie di attacco è enorme. I criminali informatici stanno usando questa finestra temporale per stabilire persistenza, distribuire webshell ed esfiltrare dati.
Versioni Colpite e Mitigazione
Se utilizzi React Server Components, devi verificare la tua versione immediatamente. Le versioni vulnerabili sono:
- React 19.0.0
- React 19.1.0
- React 19.1.1
- React 19.2.0
Azione Immediata Richiesta: Aggiorna all'ultima versione patchata di React immediatamente. Se utilizzi framework come Next.js che dipendono da React, assicurati di aggiornare il framework a una release che includa la versione patchata di React.
Per le implementazioni su larga scala, provider edge come Cloudflare hanno implementato regole WAF per mitigare i vettori di attacco specifici, ma affidarsi solo alla protezione edge non sostituisce la necessità di patchare la vulnerabilità alla radice.
La "Nuova Normalità" della Velocità degli Exploit
La velocità con cui React2Shell è stata sfruttata—passando dalla divulgazione all'armamento da parte di stati nazione in poche ore—evidenzia un cambiamento nel panorama della sicurezza informatica. Il ciclo dei "patch tuesday" non è più sufficiente; le infrastrutture critiche richiedono monitoraggio in tempo reale e capacità di risposta rapida.