Akamai acquisirà LayerX per imporre il controllo sull'uso dell'IA su qualsiasi browser. Visualizza dettagli

CVE-2025-55182: RCE per la deserializzazione del protocollo Server Functions di React e Next.js

Condividi

Analisi riassuntiva

I nostri partner sono stati informati di una nuova vulnerabilità CVE-2025-55182 presente in più sistemi basati su React, che ha mostrato un difetto critico nel modo in cui il protocollo Server Functions di React elabora le richieste Flight in entrata. Il team Next.js ha pubblicato un avviso separato, la CVE-2025-66478, per monitorare l'impatto di questa vulnerabilità.

Non sono stati osservati tentativi di sfruttamento in rete di questa vulnerabilità. Tuttavia, Akamai ha implementato una soluzione Adaptive Security Engine Rapid Rule per proteggere i clienti da queste minacce.

Dettagli della vulnerabilità

Il fulcro del problema è rappresentato da una deserializzazione non sicura, in cui gli input controllati dai criminali vengono analizzati ed ampliati senza un adeguato processo di verifica o sanificazione. Nota. Questa vulnerabilità non richiede autenticazione, pertanto risulta estremamente semplice da sfruttare.

Durante questo processo, il meccanismo di deserializzazione espande implicitamente le proprietà degli oggetti, rendendolo soggetto all'inquinamento dei prototipi. Iniettando chiavi dannose nel flusso dei dati, un criminale può manomettere i prototipi degli oggetti fondamentali, alterando il comportamento delle applicazioni web durante il runtime.

Se questa primitiva viene combinata con percorsi di esecuzione specifici in React Server Components, è possibile sferrare un attacco per ottenere l'esecuzione remota del codice (RCE) sul server di destinazione. Questo rischio è particolarmente grave per le applicazioni web che si affidano in larga misura a React Server Components e al più ampio modello di esecuzione di Server Functions, in cui i limiti di affidabilità sono strettamente associati ai protocolli di serializzazione (ulteriori informazioni sono disponibili nel blog pubblicato dal team di React).

La vulnerabilità è presente nelle versioni 19.0, 19.1.0, 19.1 e 19.2.0 di:

  • react-server-dom-webpack

  • react-server-dom-parcel

  • react-server-dom-turbopack

Sono interessati i seguenti sistemi e bundle:

  • next

  • react-router

  • waku

  • @parcel/rsc

  • @vitejs/plugin-rsc

  • rwsdk

Mitigazione con Akamai App & API Protector

Il 3 dicembre 2025, Akamai ha implementato una soluzione Adaptive Security Engine Rapid Rule per i clienti di App & API Protector allo scopo di offrire una protezione completa.

  • 3000976: è stato rilevato un attacco di esecuzione del codice remoto (RCE) di React (CVE-2025-55182)

Riepilogo

È stata implementata una nuova regola all'interno di Akamai App & API Protector per proteggere i nostri clienti da questa minaccia. La difesa più efficace, comunque, consiste sempre nell'applicare tempestivamente le patch fornite dal proprio vendor. Data la gravità di questo problema, le patch devono essere applicate il prima possibile.

L'Akamai Security Intelligence Group continuerà a monitorare, segnalare e creare mitigazioni per minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.

Tag

Condividi

Post del blog correlati

Ricerca
Mini Shami-Hulud: il worm ritorna e diventa pubblico
Leggi ulteriori informazioni sull'attacco alla supply chain di Shami-Hulud che si è verificato nel 2026 per scoprire come TeamPCP utilizza il cache poisoning della CI e l'abuso di OIDC all'interno del payload dannoso.
Cybersicurezza
La L in Linux sta per (movimento) laterale
June 28, 2023
Il movimento laterale non è esclusivo di Windows. Esaminiamo i protocolli in Linux che possono essere utilizzati per ottenere il movimento laterale, così potete proteggervi.
Cybersicurezza
La botnet NoaBot basata su Mirai fa la sua apparizione
January 10, 2024
I ricercatori della sicurezza di Akamai hanno scoperto una nuova campagna di cryptomining (NoaBot), in cui viene utilizzata una botnet Mirai personalizzata, che è stata modificata dai criminali.