X
Akamai acquisirà LayerX per imporre il controllo sull'uso dell'IA su qualsiasi browser. Visualizza dettagli
Akamai
Effettuate l'accesso
Effettuate l'accesso Close
Cloud Manager
Gestisci i tuoi servizi di cloud computing
Effettuate l'accesso Close
Control Center
Gestisci i tuoi servizi di sicurezza e delivery

CVE-2025-55183 e CVE-2025-55184: Mitigazione delle vulnerabilità di React/Next.js

Condividi

Analisi riassuntiva

I nostri partner sono stati informati di due vulnerabilità appena segnalate in più sistemi basati su React.

Akamai ha implementato Akamai Adaptive Security Engine Rapid Rules per proteggere i clienti da queste minacce. Per i clienti di Guardicore che hanno sottoscritto il servizio Akamai Hunt, Akamai ha cercato e identificato le risorse vulnerabili pertinenti nei loro ambienti, fornendo consigli su come proteggere tali risorse.

Dettagli della vulnerabilità

Sono state rilevate due nuove vulnerabilità nei sistemi RSC (React Server Component):

  1. CVE-2025-55183 - Divulgazione delle informazioni: i criminali possono aggirare gli argomenti presenti nelle funzioni del server per estrapolare solo il codice sorgente del server se l'input non è verificato correttamente.
  2. CVE-2025-55184 - DoS (Denial-of-Service) a livello funzionale: i payload appositament creati possono bloccare i server Node.js creando una ricorrenza infinita e rendendo offline i server interessati.

Mitigazione con Akamai App & API Protector

Il 10 dicembre 2025, Akamai ha implementato Adaptive Security Engine Rapid Rules per i clienti di App & API Protector allo scopo di offrire una protezione completa:

  • 3000977 - Rilevata una vulnerabilità che causa una fuga di informazioni in React (CVE-2025-55183)

  • 3000978 - Rilevata una vulnerabilità DoS (Denial-of-Service) in React (CVE-2025-55184)

Riepilogo

Akamai ha implementato nuove regole all'interno di App & API Protector per proteggere i clienti dalle vulnerabilità appena divulgate che interessano più sistemi basati su React.

I clienti di Akamai Hunt possono trarre vantaggio dal monitoraggio continuo 24/7 per nuove vulnerabilità molto gravi, come questa vulnerabilità, nonché da raccomandazioni mirate per l'applicazione di patch virtuali tramite le funzionalità di microsegmentazione granulare offerte da Guardicore.

I clienti di Guardicore con Insight possono identificare le risorse vulnerabili utilizzando la query appropriata:

SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack') 
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')

UNION ALL

SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');

La difesa più efficace, comunque, consiste sempre nell'applicare tempestivamente le patch fornite dal proprio vendor. Data la gravità di questo problema, le patch devono essere applicate il prima possibile. Per ulteriori informazioni sull'applicazione delle patch, potete consultare i blog di React e Next.js.

Tenetevi al passo

L'Akamai Security Intelligence Group continuerà a monitorare, segnalare e creare mitigazioni per minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.

Leggete altre ricerche

Tag

Condividi

Post del blog correlati

Poiché gli attacchi DDoS continuano a rappresentare un importante vettore di minacce, il settore dei servizi finanziari deve garantire di disporre di piani aggiornati per gli attacchi di livello 3, di livello 4 (infrastruttura) e di livello 7 (web).
Sicurezza
L'innovazione e i suoi rischi: le tendenze degli attacchi nei servizi finanziari
September 27, 2023
L'ultimo rapporto sullo stato di Internet - Security esamina la crescente minaccia dei rischi per la sicurezza esistenti ed emergenti per il settore dei servizi finanziari e dei rispettivi clienti.
Leggete il blog
Prima o poi, ogni impresa medio-grande dovrà affrontare un problema di cybersicurezza, la cui risoluzione richiederà le competenze di esperti del settore.
Cybersicurezza
Esame dell'anno 2024: i dati di oggi con uno sguardo al domani
December 03, 2024
Sei esperti di cybersicurezza di Akamai riflettono sulle tendenze e sugli eventi più significativi del 2024, fornendo, al contempo, il loro consapevole punto di vista su cosa aspettarsi nel 2025.
Leggete il blog
Proteggere il codice lato client e il relativo payload richiede una strategia complessa che riguarda più livelli di difesa e tecnologie.
Proteggere il codice lato client e il relativo payload richiede una strategia complessa che riguarda più livelli di difesa e tecnologie.
Ricerca sulla sicurezza
Come proteggere il codice lato client e certificare l'autenticità della raccolta dei dati
July 08, 2025
Scoprite come mantenere la resilienza informatica e l'integrità della raccolta dei dati con questi metodi di protezione del codice JavaScript lato client.
Leggete il blog