Analisi riassuntiva
I nostri partner sono stati informati di una nuova vulnerabilità CVE-2025-55182 presente in più sistemi basati su React, che ha mostrato un difetto critico nel modo in cui il protocollo Server Functions di React elabora le richieste Flight in entrata. Il team Next.js ha pubblicato un avviso separato, la CVE-2025-66478, per monitorare l'impatto di questa vulnerabilità.
Non sono stati osservati tentativi di sfruttamento in rete di questa vulnerabilità. Tuttavia, Akamai ha implementato una soluzione Adaptive Security Engine Rapid Rule per proteggere i clienti da queste minacce.
Dettagli della vulnerabilità
Il fulcro del problema è rappresentato da una deserializzazione non sicura, in cui gli input controllati dai criminali vengono analizzati ed ampliati senza un adeguato processo di verifica o sanificazione. Nota. Questa vulnerabilità non richiede autenticazione, pertanto risulta estremamente semplice da sfruttare.
Durante questo processo, il meccanismo di deserializzazione espande implicitamente le proprietà degli oggetti, rendendolo soggetto all'inquinamento dei prototipi. Iniettando chiavi dannose nel flusso dei dati, un criminale può manomettere i prototipi degli oggetti fondamentali, alterando il comportamento delle applicazioni web durante il runtime.
Se questa primitiva viene combinata con percorsi di esecuzione specifici in React Server Components, è possibile sferrare un attacco per ottenere l'esecuzione remota del codice (RCE) sul server di destinazione. Questo rischio è particolarmente grave per le applicazioni web che si affidano in larga misura a React Server Components e al più ampio modello di esecuzione di Server Functions, in cui i limiti di affidabilità sono strettamente associati ai protocolli di serializzazione (ulteriori informazioni sono disponibili nel blog pubblicato dal team di React).
La vulnerabilità è presente nelle versioni 19.0, 19.1.0, 19.1 e 19.2.0 di:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
Sono interessati i seguenti sistemi e bundle:
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Mitigazione con Akamai App & API Protector
Il 3 dicembre 2025, Akamai ha implementato una soluzione Adaptive Security Engine Rapid Rule per i clienti di App & API Protector allo scopo di offrire una protezione completa.
3000976: è stato rilevato un attacco di esecuzione del codice remoto (RCE) di React (CVE-2025-55182)
Riepilogo
È stata implementata una nuova regola all'interno di Akamai App & API Protector per proteggere i nostri clienti da questa minaccia. La difesa più efficace, comunque, consiste sempre nell'applicare tempestivamente le patch fornite dal proprio vendor. Data la gravità di questo problema, le patch devono essere applicate il prima possibile.
L'Akamai Security Intelligence Group continuerà a monitorare, segnalare e creare mitigazioni per minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
Tag
