Impatto Sistemico

Critico (79.48)

Sintesi

Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità con gravità “critica” – denominata React2Shell – nel protocollo “ Flight ” delle React Server Components, tipicamente utilizzate anche da framework come Next.js. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di ottenere l’esecuzione di codice remoto sulle instanze interessate.

Tipologia

• Remote Code Execution

Descrizione e potenziali impatti

È stata recentemente rilevata una vulnerabilità, identificata tramite la CVE-2025-55182 di tipo “ Insecure Deserialization ” e con score CVSS v3.x pari a 10, relativa al protocollo Flight utilizzato nelle React Server Components. Tale vulnerabilità, presente nelle configurazioni standard, è dovuta alla gestione non sicura dei meccanismi di deserializzazione dei payload Flight ricevuti dal server tramite richieste POST e potrebbe permettere, qualora sfruttata, l’esecuzione di codice arbitrario da parte di un utente malintenzionato, con conseguente compromissione dei sistemi interessati.

Prodotti e/o versioni affette

React

• 19.0.x, versioni precedenti alla 19.0.1
• 19.1.x, versioni precedenti alla 19.1.2
• 19.2.x, versioni precedenti alla 19.2.1

Next.js

• 15.0.x, versioni precedenti alla 15.0.5
• 15.1.x, versioni precedenti alla 15.1.9
• 15.2.x, versioni precedenti alla 15.2.6
• 15.3.x, versioni precedenti alla 15.3.6
• 15.4.x, versioni precedenti alla 15.4.8
• 15.5.x, versioni precedenti alla 15.5.7
• 16.0.x, versioni precedenti alla 16.0.7

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.