La recente vulnerabilità critica denominata React2Shell, identificata come CVE-2025-55182 con punteggio CVSS 10.0, ha colpito il mondo della sicurezza informatica, spingendo la CISA ad aggiungerla nel suo catalogo delle vulnerabilità sfruttate attivamente (KEV). La falla riguarda i React Server Components e consente a un attaccante remoto non autenticato di eseguire codice arbitrario sul server bersaglio tramite richieste HTTP appositamente costruite, senza bisogno di configurazioni particolari.
Il problema nasce da una deserializzazione insicura all'interno del protocollo Flight della libreria React, utilizzata per la comunicazione tra server e client. Questo consente a un malintenzionato di inviare dati manipolati che vengono interpretati come oggetti dal server, portando così all’esecuzione non autorizzata di comandi. Le versioni aggiornate che risolvono la vulnerabilità sono la 19.0.1, 19.1.2 e 19.2.1 delle librerie react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. Tuttavia, anche framework come Next.js, React Router, Waku, Parcel, Vite e RedwoodSDK risultano potenzialmente vulnerabili.
Attività malevole osservate
Dopo la disclosure pubblica, sono stati osservati attacchi provenienti da infrastrutture riconducibili a gruppi hacker cinesi come Earth Lamia e Jackpot Panda. Aziende di sicurezza come Coalition, Fastly, GreyNoise, VulnCheck e Wiz hanno confermato numerosi tentativi di sfruttamento, tra cui l’installazione di cryptominer, comandi PowerShell per verifica della compromissione e download di ulteriori payload. Inoltre, la botnet RondoDox ha ulteriormente ampliato il proprio arsenale sfruttando questa e altre vulnerabilità recenti.
Impatto globale e superfici esposte
Secondo i dati di Censys, oltre due milioni di servizi esposti su Internet potrebbero essere vulnerabili, soprattutto quelli basati su React Server Components e framework correlati. Shadowserver Foundation ha rilevato quasi 29.000 indirizzi IP vulnerabili, con una concentrazione significativa negli Stati Uniti, Germania e Cina.
Tecniche di attacco e rischi
Gli attacchi osservati fino a ora includono esecuzione di payload semplici, dropper per accesso persistente, web shell in memoria e attività di ricognizione e furto di credenziali. Alcuni attori hanno anche tentato l’installazione di backdoor sofisticate come Noodle RAT, oltre a malware noti e strumenti come Cobalt Strike.
Mitigazione e raccomandazioni
La natura deterministica di React2Shell, dovuta a una falla logica nel protocollo Flight, rende l’exploit particolarmente affidabile e pericoloso, soprattutto considerando la diffusione di Next.js in ambienti enterprise. La raccomandazione unanime degli esperti è di aggiornare immediatamente tutte le istanze vulnerabili, dato che sono disponibili proof-of-concept pubblici e la finestra di esposizione è ampia.
