Il CERT informa che è stata sfruttata attivamente una vulnerabilità con gravità critica, denominata React2Shell e di tipologia Remote Code Execution, che ha colpito il protocollo Flight della React Server Components, utilizzato anche da framework come Next.js.
Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malintenzionato di ottenere l’esecuzione di codice remoto sulle istanze interessate senza autenticazione.
Si consiglia di aggiornare il prodotto seguendo quanto dichiarato dal fornitore attraverso i propri canali.
Versioni impattate:
|
Prodotto |
Versione |
|
React |
19.0.x, versioni precedenti alla 19.0.1 |
|
React |
19.1.x, versioni precedenti alla 19.1.2 |
|
React |
19.2.x, versioni precedenti alla 19.2.1 |
|
Next.js |
15.0.x, versioni precedenti alla 15.0.5 |
|
Next.js |
15.1.x, versioni precedenti alla 15.1.9 |
|
Next.js |
15.2.x, versioni precedenti alla 15.2.6 |
|
Next.js |
15.3.x, versioni precedenti alla 15.3.6 |
|
Next.js |
15.4.x, versioni precedenti alla 15.4.8 |
|
Next.js |
15.5.x, versioni precedenti alla 15.5.7 |
|
Next.js |
16.0.x, versioni precedenti alla 16.0.7 |
Approfondimenti:
- Vulnerabilità in React: Next.js nella lista dei progetti interessati
- RCE in React Server Components
- CVE-2025-55182