Che cos'è React2Shell? (CVE-2025-55182 e CVE-2025-66478)

React CVE-2025-55182 e Next.js CVE-2025-66478, ora collettivamente chiamati React2Shell, riflettono un bug di inquinamento del prototipo non tradizionale. La maggior parte dei bug di inquinamento del prototipo richiede un bug aggiuntivo per fare qualcosa di utile all'hacker, ma questi richiedono solo un passaggio.

Hanno una classificazione CVSS 10.0, la più alta.  Se sei vulnerabile, è necessario intervenire immediatamente.

Scopri di più Scopri di più su CVSS 10.0

"Riguarda anche me?" Elenco di controllo

Configurazioni vulnerabili:

  • Versioni di React (19.0, 19.1 e 19.2) in combinazione con una qualsiasi delle implementazioni RSC elencate: 

  • Next.js 15, 15.1, 15.2, 15.3, 15.4, 15.5, 16 

  • App Router

  • Anteprima RSC del router React

  • Plug-in Parcel RSC

  • Plug-in Vite RSC.

Se usi uno di questi senza patch, potresti essere vulnerabile.

Hub degli incidenti di React2Shell

Scopri come porre rimedio a queste vulnerabilità critiche.

  • Aggiornamenti sullo stato

    Il team di sicurezza di Fastly fornisce aggiornamenti in tempo reale in merito alla falla critica relativa all'esecuzione di codice in modalità remota e alle vulnerabilità correlate riscontrate nel framework React.

    Tracciare l'andamento dell'incidente

  • Settori e regioni interessati

    React2Shell continua a colpire le aziende di tutto il mondo. Ecco cosa stiamo osservando e quali misure dovrebbero adottare le aziende, tra cui l'identificazione e l'applicazione immediata di patch alle app vulnerabili.

    Scopri di più

  • Contattaci

    Hai bisogno di supporto per la risoluzione? Non lasciarti sopraffare: siamo qui per aiutarti. Per qualsiasi domanda o richiesta riguardante la vulnerabilità React2Shell, scrivici via e-mail.

    email CVE-alert@fastly.com

Come abbiamo risposto immediatamente

La sera del 1° dicembre 2025, Vercel ha informato Fastly dell'imminente divulgazione delle vulnerabilità, ora denominate congiuntamente React2Shell. Dopo essere venuta a conoscenza delle vulnerabilità, Fastly ha immediatamente avviato un'indagine sui nostri sistemi interni e ha iniziato a sviluppare contenuti di rilevamento per fornire un supporto rapido e proattivo ai nostri clienti. 

Nelle ore successive, sono state rese disponibili patch virtuali per questi CVE al fine di dare un po' di respiro alle aziende che stavano valutando la propria esposizione, e dalla nostra indagine attuale è emerso che l'infrastruttura centrale della piattaforma di Fastly non è vulnerabile a React2Shell.

Come Fastly ti protegge

Per impedire l'esecuzione di codice remoto dovuta alla vulnerabilità React2Shell, si consiglia ai clienti Fastly NGWAF di applicare immediatamente la patch virtuale per CVE-2025-66478 (che risolve anche CVE-2025-55182). Il 12 dicembre, in seguito alle informazioni di Vercel e Meta riguardanti CVE-2025-55184 (Denial of Service) e CVE-2025-55183 (fuga di informazioni), Fastly ha rapidamente sviluppato e distribuito una patch virtuale per entrambi. Queste patch sono state abilitate in modalità di blocco per impostazione predefinita per tutti i clienti Fastly NGWAF; il nostro rilevamento esistente per CVE-2025-55184 copre automaticamente anche il successivo CVE-2025-67779.

Fastly Compute funziona su WebAssembly (Wasm), che isola rigorosamente ogni richiesta. Questa architettura impedisce agli exploit RCE di fuggire dall'ambiente di esecuzione per accedere ai dati dell'host o di altri utenti.

Cerchi altro?