CVE-2025-55182: RCE critica non autenticata nei React Server Components tramite deserializzazione non sicura

React Server Components sono un’architettura di sviluppo web moderna che consente agli sviluppatori di creare applicazioni che combinano rendering lato server con un’esperienza interattiva lato client. Questa tecnologia è alla base di framework come Next.js ed è sempre più adottata per la costruzione di applicazioni web ad alte prestazioni e scalabili. Poiché gestisce le richieste client sul lato server, la sua sicurezza è fondamentale per l’integrità dell’applicazione web.

Questa vulnerabilità rappresenta un rischio critico, consentendo l’esecuzione di codice remoto (RCE) non autenticata. L’impatto è una compromissione completa del sistema, con un punteggio CVSS pari a 10.0. La difficoltà per un attaccante è bassa, poiché la vulnerabilità può essere attivata con una singola richiesta HTTP appositamente creata verso un endpoint esposto del server.

Dato che la vulnerabilità è stata resa pubblica e sono disponibili exploit proof-of-concept, si deve presumere un utilizzo attivo in ambienti reali. Qualsiasi applicazione accessibile da Internet che utilizza versioni vulnerabili di React Server Components è a rischio immediato di compromissione. Un attacco riuscito può comportare gravi violazioni di dati, interruzioni del servizio e attacchi a catena contro l’infrastruttura compromessa.

React Server Components
2025-12-03 16:50:52

Riassunto tecnico

La causa principale di questa vulnerabilità è un difetto di deserializzazione non sicura all’interno della logica di elaborazione dei dati delle Server Function in React Server Components. Il server non sanitizza né valida correttamente i dati ricevuti dal client prima di deserializzarli.

La catena di attacco si svolge come segue:

  1. Un attaccante non autenticato crea un payload dannoso contenente dati serializzati. Questo payload è progettato per eseguire codice arbitrario quando viene elaborato dal meccanismo di deserializzazione del server.
  2. L’attaccante invia questo payload all’interno di una richiesta HTTP verso un endpoint Server Function esposto pubblicamente.
  3. Il componente lato server riceve la richiesta e tenta di deserializzare il payload non attendibile.
  4. A causa della mancanza di validazione, il processo di deserializzazione attiva il codice dannoso incorporato, portando all’esecuzione arbitraria di codice con i permessi del processo del server web.

Un attaccante può sfruttare questa vulnerabilità per ottenere il pieno controllo del server interessato, permettendo di sottrarre dati sensibili, installare malware o spostarsi lateralmente verso altri sistemi nella rete.

Versioni interessate:

  • react-server-dom-parcel: versioni 19.0.0 fino a 19.2.0
  • react-server-dom-turbopack: versioni 19.0.0 fino a 19.2.0
  • react-server-dom-webpack: versioni 19.0.0 fino a 19.2.0

È stata rilasciata una patch e si invita con urgenza ad aggiornare immediatamente alle versioni più recenti di questi pacchetti.

Raccomandazioni

  • Patch immediata: Aggiornare tutti i pacchetti React Server Components interessati (react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) alle versioni più recenti disponibili. Non ritardare l’applicazione della patch, poiché l’exploit attivo è altamente probabile.

  • Mitigazioni:

    • Implementare un Web Application Firewall (WAF) con regole progettate per ispezionare e bloccare payload anomali o dannosi legati alla deserializzazione nel traffico HTTP. Diversi provider, come Cloudflare, hanno già implementato regole di patching virtuale.
    • Se non è possibile applicare immediatamente la patch, limitare temporaneamente l’accesso alle applicazioni web vulnerabili a intervalli di IP affidabili, anche se questa misura non sostituisce la patch.

  • Caccia & Monitoraggio:

    • Analizzare i log del server HTTP alla ricerca di richieste insolite o malformate verso gli endpoint Server Function. Prestare attenzione a pattern di dati sospetti che non corrispondano al traffico legittimo dell’applicazione.
    • Monitorare i processi del server per individuare processi figli inattesi, connessioni di rete in uscita verso destinazioni sconosciute o modifiche insolite ai file, tutti potenziali indicatori di compromissione.

  • Risposta all’incidente:

    • In caso di sospetta compromissione, isolare immediatamente il server interessato dalla rete per prevenire movimenti laterali.
    • Conservare log del server, dump di memoria e immagini del disco per analisi forense.
    • Presumere che tutte le credenziali o segreti presenti sul server compromesso siano stati esfiltrati e avviare le procedure di rotazione.

  • Difesa in profondità:

    • Eseguire i processi dell’applicazione web con il minor numero possibile di privilegi per limitare l’impatto di una potenziale RCE.
    • Implementare la segmentazione della rete per impedire a un server web compromesso di accedere a sistemi interni critici.
    • Assicurarsi che i backup regolari dei dati critici siano mantenuti e archiviati in una posizione sicura e isolata.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In