Vulnerabilità Critica React2Shell

E’ stata individuata una nuova vulnerabilità, identificata come CVE-2025-55182, nei React Server Components (noti anche come React.js o ReactJS), una libreria JavaScript front-end open-source per la creazione di interfacce utente. React versioni 19.0.0, 19.1.0, 19.1.1, 19.2.0 contengono codice vulnerabile.

La vulnerabilità CVE-2025-55182 consente a un aggressore di eseguire codice arbitrario da remoto su un server non aggiornato.

Un aggressore remoto non autenticato potrebbe creare una richiesta HTTP dannosa a qualsiasi endpoint di Server Function che, una volta deserializzata da React, ottiene l’esecuzione di codice remoto (RCE) sul server. L’attacco non richiede conoscenze avanzate, strumenti sofisticati o calcoli complessi: può essere eseguito inviando una singola, semplice richiesta HTTP all’endpoint vulnerabile.

Il codice exploit è disponibile pubblicamente. Lo sfruttamento (exploitation) è in corso.

E’ opportuno individuare immediatamente la versione di React in uso (in particolare i React Server Components) e applicare l’aggiornamento di sicurezza (patch).

Riferimento: https://www.cve.org/CVERecord?id=CVE-2025-55182