Aggiornamento dell'11 dicembre:
Dopo le gravi vulnerabilità CVE di React2Shell rilevate la scorsa settimana, sono state appena annunciate due (ora tre) nuove vulnerabilità CVE che sfruttano componenti simili di Next.js e React. Gli ultimi rilasci aumentano il livello di allerta, poiché le organizzazioni si affrettano a valutare l'impatto e rafforzano la necessità di identificare l'esposizione e applicare patch a questi framework sottostanti. Qui puoi trovare ulteriori informazioni in merito.
Aggiornamento del 9 dicembre:
React2Shell continua a interessare le imprese a livello globale e abbiamo nuovi approfondimenti sui settori e le regioni maggiormente presi di mira. Aggiornati qui.
Aggiornamento del 5 dicembre:
Fastly sta riscontrando prove concrete che suggeriscono che gli hacker stanno sondando incessantemente le applicazioni vulnerabili nel tentativo di sfruttare React2Shell (CVE 2025-55182 & 2025-66478). Dopo che il PoC è stato annunciato pubblicamente intorno alle 21:04 UTC di ieri (4 dicembre), Fastly ha rilevato quella che a quel punto sembrava essere una forte escalation dell'attività di attacco.
Nelle 24 ore successive, il numero di richieste che attivano i nostri segnali NGWAF per React2Shell è esploso del 2.775%.
Il team di ricerca sulla sicurezza di Fastly ha verificato che alcuni POC pubblici consentono agli hacker di eseguire comandi, esfiltrare dati e ottenere accesso in scrittura su server vulnerabili in un solo passaggio. Occorre attuare immediatamente interventi di patch.
Per i clienti Fastly
Il nostro obiettivo è quello di darti il tempo necessario per riparare:
Innanzitutto, abbiamo ampliato la nostra Patch virtuale per CVE-2025-55182 per rilevare attività di scansione/sondaggio e qualsiasi tentativo di eludere le nostre protezioni NGWAF.
In secondo luogo, il segnale integrato "strumenti di attacco" del Next-Gen WAF rileva scanner emersi nelle ultime 24 ore per sondare le app vulnerabili. Consigliamo di esaminare tutte le richieste che hanno attivato questo segnale, poiché potrebbero indicare attività di React2Shell.
Infine, la gestione dei bot di Fastly ha segnalato gli strumenti di attacco React2Shell come "bot dannoso sospetto", offrendo alle organizzazioni un ulteriore livello di difesa. Ti suggeriamo di incorporare questo segnale nelle tue regole se non l'hai già fatto.
La migliore soluzione disponibile al momento è aggiornare le tue app alle versioni patchate applicabili. Siamo arrivati al punto in cui non è più questione di "se", o forse nemmeno di "quando", ma di "quanto spesso"? Continueremo a monitorare l'attività di attacco globale, investendo in ulteriori misure di mitigazione per i nostri clienti e condividendo informazioni con la community.
Aggiornamento del 9 dicembre:
Dalla pubblicazione di questo blog, i team di Fastly hanno monitorato attentamente eventuali tentativi di compromettere React2Shell (CVE 2025-55182 e 2025-66478). Verso le 21:04 GMT del 4 dicembre, quello che sembra essere un PoC valido è stato abbandonato pubblicamente. Nonostante vi siano state richieste limitate o nule che attivassero i nostri segnali NGWAF per queste vulnerabilità fino a circa le 20:00 GMT, i segnali attivati sono aumentati bruscamente dopo che il PoC ha iniziato a circolare. Il grafico sottostante rappresenta i dati dalle ore 11:00 GMT circa alle ore 23:00 GMT del 4 dicembre 2025; continueremo a condividere informazioni rilevanti man mano che la situazione evolve.
Cosa dovresti fare?
Fastly consiglia vivamente di dare priorità all'identificazione e all'aggiornamento immediato delle app React e Next.js. Per gli attuali clienti Next-Gen WAF, consigliamo di abilitare la patch virtuale associata per i due CVE affinché offra protezione fino a quando i sistemi sottostanti non saranno completamente aggiornati. Se non hai applicato patch né alcuna protezione proattiva, dovresti presumere che i tuoi sistemi vulnerabili siano potenzialmente compromessi.
Continueremo a monitorare la nostra rete globale per verificare l'attività React2Shell e aggiorneremo la community sull'evolversi della situazione.
Sebbene spesso si parli di reti nefaste di criminali informatici che abusano di Internet, sarebbe bene rendere onore alla rete di provider appassionati che si uniscono per riparare Internet nei momenti di crisi. La nuova vulnerabilità React Remote Code Execution (RCE) annunciata oggi è un esempio della forza di questa collaborazione.
La sera del 1° dicembre, Vercel ci ha contattati per informarci dell'imminente divulgazione di CVE-2025-55182 e CVE-2025-66478*, vulnerabilità ora conosciute congiuntamente come React2Shell.
Dopo aver scoperto la vulnerabilità, Fastly ha immediatamente avviato un'indagine sui nostri sistemi interni e ha lavorato per sviluppare contenuti di rilevamento che forniscano un supporto rapido e proattivo ai nostri clienti.
Abbiamo inoltre contribuito a mettere in contatto direttamente Vercel con altri partner tecnologici critici per garantire la massima preparazione intersettoriale prima della divulgazione. Sappiamo che per i nostri clienti non è importante solo la risposta di Fastly. Questa è la dimostrazione del fatto che siamo un buon partner per gli altri operatori del settore e che contribuiamo a diffondere le informazioni giuste nei posti giusti.
Siamo grati per la stretta collaborazione con Vercel e con gli altri partner dell'ecosistema software che hanno contribuito a questo intervento urgente, il cui fine era mantenere al sicuro il maggior numero possibile di organizzazioni.
In questo post, spiegheremo più dettagliatamente la vulnerabilità, descriveremo come React2Shell potrebbe influenzare la tua azienda e offriremo consigli per mitigare i tentativi di sfruttamento.
Cosa devi sapere ora
React CVE-2025-55182 e Next.js CVE-2025-66478 interessano qualsiasi app che utilizzi React 19 con React Server Components (RSC), che fortunatamente ha un impatto relativamente ridotto rispetto a tutte le app JavaScript in circolazione.
Tuttavia, prevediamo che gli aggressori trasformino rapidamente questa vulnerabilità in un'arma; se sei vulnerabili, devi aspettarti a breve un'ondata di tentativi di attacco.
Secondo la nostra attuale indagine, l'infrastruttura principale della piattaforma di Fastly non è vulnerabile a React2Shell. Procederemo man mano che ne sapremo di più.
Abbiamo rilasciato una patch virtuale per React2Shell nel nostro NGWAF per aiutare i nostri clienti a mitigare i tentativi di sfruttamento; per maggiori informazioni vai sulla nostra status page e sull'FSA all'interno del nostro portale clienti.
Come ottenere una protezione attiva ora
Per mitigare i rischi per le tue applicazioni protette da NGWAF, ti consigliamo di applicare immediatamente la Patch Virtuale per CVE-2025-55182 e CVE-2025-66478** a tutti i Service edge e on-premise che potrebbero essere vulnerabili. Il contenuto di rilevamento all'interno di questa Regola Template specifica per CVE ricerca pattern specifici all'interno delle intestazioni delle richieste e dei corpi POST che possano indicare potenziali tentativi di sfruttamento dei CVE React2Shell.
Il team di ricerca sulla sicurezza di Fastly ha sviluppato e testato questo contenuto in stretta collaborazione con Vercel; siamo grati per questa partnership che ci permette di garantire collettivamente ai nostri clienti l'accesso alla protezione al momento della divulgazione. Il nostro team di ricerca sulla sicurezza aggiornerà la patch virtuale costantemente, secondo necessità; chiunque abbia aderito riceverà automaticamente gli aggiornamenti successivi.
Fastly continuerà a studiare ulteriori livelli di difesa che possiamo offrire ai nostri clienti per rilevare e bloccare il traffico di attacchi legati a React2Shell. Continueremo a sviluppare e perfezionare i contenuti NGWAF pertinenti man mano che rileviamo tentativi di sfruttamento.
Approfondimento su React2Shell
React CVE-2025-55182 e Next.js CVE-2025-66478 riflettono un bug di inquinamento del prototipo, ma non uno tradizionale. La maggior parte dei bug di inquinamento del prototipo richiede un bug aggiuntivo affinché l'hacker possa ottenere qualcosa di utile, come l'esecuzione di codice arbitrario o l'accesso a dati riservati.
Questa vulnerabilità RCE di React è atipica per un bug di inquinamento del prototipo perché l'hacker può ottenere ciò che vuole in un solo passaggio – e quel passaggio funziona, in base alla nostra comprensione, su qualsiasi cosa utilizzi React 19 con RSC.
Gli hacker possono effettuare una sola richiesta per forzare il tuo server React a eseguire il codice JavaScript di loro scelta. Questo bug significa che gli hacker non devono eseguire ricognizioni sulla tua app né autenticarsi correttamente. Tutto ciò di cui hanno bisogno è sapere che la tua app utilizza RSC e inviare una richiesta HTTP con la precisa serie di istruzioni di volo serializzate per attivare il bug.
Poiché React2Shell non richiede un'altra vulnerabilità per consentire agli aggressori di ottenere l'esecuzione remota di codice, a nostro avviso gli aggressori la considereranno facilmente sfruttabile. In poche parole, il bug consente agli hacker di aggiungere ed eseguire facilmente JavaScript arbitrari su un server vulnerabile. In termini più tecnici, questa vulnerabilità sfrutta la libreria Flight, e in particolare il suo codice di deserializzazione, per invocare il costruttore di funzioni JavaScript mentre il server decodifica la chiamata alla funzione React Server in arrivo dall'hacker.
Se usi React 19, ti consigliamo vivamente di applicare immediatamente le patch e applicare le protezioni attive come descritto di seguito.
Guida di Fastly per React2Shell – CVE-2025-55182 e CVE-2025-66478
Quando siamo venuti a conoscenza di questa vulnerabilità, abbiamo rapidamente analizzato l'infrastruttura della nostra piattaforma principale e non abbiamo riscontrato alcuna prova della nostra vulnerabilità diretta a React CVE-2025-55182 e Next.js CVE-2025-66478. Continueremo le nostre indagini man mano che ne sapremo di più.
Abbiamo però molti clienti che eseguono app JavaScript sulla nostra piattaforma. Ecco come sapere se stai utilizzando React 19 e se potresti essere vulnerabile a React2Shell:
Inventaria tutte le app che utilizzano React Server Functions o Next.js, ad esempio, utilizzando la ricerca su GitHub; un metodo diretto e affidabile è effettuare una ricerca mirata nel loro codebase per le dipendenze del pacchetto all'interno del file package.json.
Tieni presente che anche un'applicazione Next.js vuota e pronta all'uso può essere vulnerabile; all'hacker basta il server necessario per i React Server Component, anche se non utilizzi le React Server Function.
In qualsiasi ambiente multi-tenant, è naturale preoccuparsi che il tuo proverbiale "vicino" possa essere vulnerabile anche se non lo sei, con effetti a cascata. Fastly, però, ti protegge dagli effetti di contagio diretti. Fastly ha progettato la sua piattaforma Compute fin dall'inizio tenendo a mente la nozione di carichi di lavoro non affidabili; non importa se i tuoi vicini sono malintenzionati o compromessi perché l'architettura sandbox di Fastly è costruita per proteggerti.
Data la natura della vulnerabilità, sembra probabile che i tentativi di sfruttamento siano una questione di "quando", non di "se". Se hai bisogno di altro tempo per applicare patch alle tue app React o Next.js, ti invitiamo ad applicare immediatamente protezioni attive, anche tramite il NGWAF di Fastly, come descritto sopra, per minimizzare l'impatto aziendale degli attacchi (rendere antieconomico per gli hacker sfruttare queste vulnerabilità).
Cosa succederà ora?
Sappiamo che i nostri clienti ci affidano la resilienza dei loro servizi critici per il business e la missione centrale della nostra azienda è supportarti quando emergono sorprese come CVE-2025-55182 e CVE-2025-66478. I nostri team sono qui per supportarti nella mitigazione continua di React2Shell, che tu sia un cliente di lunga data della piattaforma Fastly o un nuovo cliente che necessita di protezione immediata. Facci sapere come possiamo aiutarti.
Siamo grati di fare la nostra parte in questa rete di fornitori cloud che si impegnano a minimizzare l'impatto degli attacchi informatici e degli abusi informatici in tutto il mondo. Al fine di supportare la resilienza a livello di internet e la collaborazione tra gli ecosistemi, Fastly monitorerà preventivamente la nostra rete globale al fine di individuare i tentativi di sfruttamento della vulnerabilità React2Shell e offrirà aggiornamenti successivi sulle attività che osserviamo, simili agli approfondimenti pubblicati durante l'incidente Log4Shell. Rimanete sintonizzati.
* Io personalmente mi riferisco a loro congiuntamente come “Spicy Unpickling”, per prendere in prestito la terminologia da Python.
** Per una protezione immediata, abbiamo pubblicato la patch virtuale con il numero CVE a nostra disposizione: CVE-2025-66478 da Next.js. Stiamo lavorando per consolidare CVE-2025-66478 in CVE-2025-55182, il CVE di React.