React2Shell (CVE-2025-55182): vulnerabilità critica che consente l'esecuzione di codice remoto nei Server di React

CVE-2025-55182 è una vulnerabilità critica che consente l'esecuzione di codice remoto prima dell'autenticazione nei React Server , con un punteggio CVSS pari a 10,0, il livello di gravità più alto possibile. Nell'ambito del programmaOPSWAT Fellowship, i nostri borsisti hanno condotto un'analisi tecnica approfondita di questa vulnerabilità, esaminandone la causa principale nel protocollo di deserializzazione React Flight, l'intera catena di sfruttamento e il suo impatto diffuso nell'ecosistema web moderno. Questo blog presenta i nostri risultati insieme a linee guida pratiche per i difensori.

React è diventata una delle librerie front-end più diffuse al mondo, alla base di una quota significativa delle moderne mobile web e mobile . I sondaggi tra gli sviluppatori di Stack Overflow classificano costantemente React tra i migliori framework web, con un'adozione che supera il 40% degli sviluppatori professionisti a livello globale. Parallelamente a questa crescita, il team di React ha introdotto React Server (RSC) come funzionalità principale di React 19: un cambiamento di paradigma che sposta la logica di rendering dal client al server, consentendo prestazioni ottimizzate e una più stretta integrazione tra il codice lato server e quello lato client.

Tuttavia, questa evoluzione architettonica ha introdotto una nuova superficie di attacco critica. Il 29 novembre 2025, il ricercatore di sicurezza Lachlan Davidson ha segnalato al programma Bug Bounty di Meta una vulnerabilità nella logica di deserializzazione lato server di React. Resa pubblica il 3 dicembre 2025 con il codice CVE-2025-55182, la falla consente l'esecuzione di codice remoto senza autenticazione tramite una singola richiesta HTTP appositamente costruita. Classificata come CWE-502 (Deserializzazione di dati non attendibili), la vulnerabilità non richiede alcuna autenticazione, nessuna interazione da parte dell'utente e nessuna configurazione speciale dell'applicazione: una distribuzione create-next-app predefinita creata per la produzione è immediatamente sfruttabile.

React è una libreria JavaScript per la creazione di interfacce utente, gestita da Meta e da un'ampia comunità open source. Server React Server (RSC), introdotti con React 19, rappresentano un cambiamento fondamentale nel modo in cui le applicazioni React gestiscono il rendering. A differenza dei tradizionali componenti client che vengono eseguiti interamente nel browser, i componenti server vengono eseguiti sul server, producendo una rappresentazione serializzata dell'interfaccia utente che viene trasmessa in streaming al client. Questo design riduce la quantità di JavaScript inviata al browser, migliora le metriche relative al tempo di interattività e consente l'accesso diretto alle risorse lato server, come database e file system.

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

Si consideri una Server definita come segue:

La richiesta HTTP corrispondente contiene diversi campi del modulo, ciascuno composto da una chiave e un valore: il campo 0 contiene l'array degli argomenti con riferimenti quali "$W1" e "$K2", mentre i campi 1 e 2_* contengono i dati a cui tali riferimenti rimandano. Il server elabora ciascun campo man mano che arriva, memorizzando i risultati intermedi in oggetti denominati "chunk".

Un chunk è un oggetto thenable con quattro proprietà chiave: status (lo stato di risoluzione), value (i dati memorizzati), reason (informazioni sull'errore) e _response (un riferimento all'oggetto risposta padre). Quando il server incontra un chunk in attesa, viene richiamato il metodo .then() del chunk. Se lo stato del chunk è INITIALIZED, la callback di risoluzione riceve chunk.value. Se lo stato è PENDING, BLOCKED o CYCLIC, le callback vengono messe in coda per essere eseguite in un secondo momento.

Di seguito viene illustrato il modo in cui Next.js elabora una richiesta in entrata Server in condizioni normali, a partire dal livello HTTP fino al motore di deserializzazione React Flight.

Quando viene richiamata una Server , la richiesta viene gestita dalla funzione `handleAction`. Questa funzione convalida i metadati, verifica le intestazioni e i token CSRF e conferma che la richiesta sia un'azione di recupero valida. Viene quindi creato uno stream denominato busboyStream per analizzare il corpo del modulo multipart. La funzione decodeReplyFromBusboy associa gli emettitori di eventi a questo stream, attivando le funzioni di gestione della deserializzazione ServerReact Serverman mano che vengono ricevuti i dati grezzi. Il valore restituito da decodeReplyFromBusboy è chunk_0; l'operatore await lo risolve e passa il valore assemblato alla Server richiamata.

La funzione getChunk restituisce il chunk corrispondente a un determinato ID. Se tale chunk non esiste ancora, crea un ResolvedModelChunk (se i dati sono già presenti in response._formData) oppure un PendingChunk (se non sono ancora arrivati dati per quell'ID).

Quando decodeReplyFromBusboy restituisce chunk_0, il chunk rimane nello stato PENDING. L'operatore await chiama chunk_0.then() e memorizza temporaneamente le callback di risoluzione e di rifiuto rispettivamente in chunk_0.value e chunk_0.reason. Queste callback vengono riattivate dalla funzione wakeChunk una volta completata la risoluzione dei riferimenti.

Quando busboyStream riceve un campo di dati grezzi completo, attiva l'emittitore di eventi "field", richiama la funzione resolveField e avvia la deserializzazione, convertendo i dati grezzi del modulo in oggetti JavaScript completamente costruiti. Le seguenti funzioni regolano questo processo.

resolveField(risposta, chiave, valore)

La chiave e il valore vengono aggiunti a `response._formData`. La funzione recupera quindi il chunk corrispondente all'ID che coincide con la chiave. Se quel chunk esiste già, viene chiamata la funzione `resolveModelChunk` per ricostruirlo. Questa risoluzione differita è necessaria perché un valore potrebbe contenere riferimenti a campi i cui dati grezzi non sono ancora arrivati; in tal caso, React Server un `PendingChunk` con callback personalizzati di risoluzione e rifiuto per gestire tali riferimenti in un secondo momento.

resolveModelChunk(chunk, valore, id)

resolveModelChunk crea un oggetto ResolvedModelChunk con lo stato RESOLVED_MODEL e vi inserisce i dati grezzi. Successivamente ricostruisce il chunk tramite initializeModelChunk e chiama wakeChunk per attivare eventuali callback di risoluzione e rifiuto in coda, completando così la risoluzione dell'oggetto o del riferimento.

initializeModelChunk(chunk)

initializeModelChunk imposta lo stato del chunk su CYCLIC — indicando che è in corso la risoluzione dei riferimenti — e avvia la deserializzazione. Crea un oggetto JavaScript grezzo a partire da chunk.value utilizzando JSON.parse, quindi passa questo oggetto alla funzione reviveModel.

reviveModel(risposta, oggettoGenitore, chiaveGenitore, valore, riferimento)

reviveModel elabora in modo ricorsivo ogni componente all'interno dell'oggetto analizzato. Quando incontra un valore stringa, chiama la funzione parseModelString per gestirlo.

parseModelString(risposta, oggetto, chiave, valore, riferimento)

La funzione `parseModelString` gestisce i diversi tipi di codifica in base al prefisso della stringa. Per i riferimenti che iniziano con $, viene chiamata la funzione `getOutlinedModel` per risolvere il riferimento tra blocchi.

getOutlinedModel(risposta, riferimento, oggettoGenitore, chiave, mappa)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

Il difetto critico è che i nomi di queste proprietà non vengono mai verificati. Il server non verifica se le proprietà richieste siano proprietà proprie dell'oggetto o proprietà del prototipo ereditate. Un aggressore può quindi includere __proto__ nel percorso della proprietà per attraversare la catena del prototipo e raggiungere metodi interni che non dovrebbero mai essere accessibili da input controllati dall'utente. Ad esempio, il riferimento $1:__proto__:then viene risolto in Chunk.prototype.then, una funzione che l'aggressore può quindi invocare con argomenti controllati.

La catena di exploit sfrutta due distinti percorsi di codice nella logica di deserializzazione Flight di React.

Il primo è Chunk.prototype.then, che regola il comportamento dei chunk come thenable. Quando si applica l'operatore await a un chunk nello stato INITIALIZED, viene chiamato resolve(chunk.value). Se chunk.value è a sua volta un thenable (un oggetto dotato del metodo .then() ), l'operatore await richiama ricorsivamente chunk.value.then(). Questa risoluzione ricorsiva è il meccanismo attraverso il quale un malintenzionato reindirizza l'esecuzione verso una funzione arbitraria.

Il secondo è il gestore del prefisso $B (blob) all'interno della funzione parseModelString():

Nel caso $B, la funzione chiama response._formData.get(response._prefix + id). Sia _formData.get che _prefix sono proprietà dell'oggetto _response memorizzato all'interno del chunk. Controllando queste proprietà tramite la traversata della catena dei prototipi, un malintenzionato può reindirizzare questa chiamata per invocare il costruttore globale Function con codice arbitrario come argomento.

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

Per dimostrare il potenziale impatto nella realtà, i nostri ricercatori hanno realizzato un payload di prova in linea con l'analisi documentata in modo indipendente da diversi team di ricerca sulla sicurezza. L'exploit opera in due fasi:

Fase 1 - Costruire il blocco fittizio:

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

Poiché a questo punto il campo 1 non è ancora stato ricevuto, React Server crea Server delle callback di risoluzione e di rifiuto per gestire il riferimento in sospeso.

Fase 2 - Risoluzione del trigger:

Una volta consegnato il campo 1 — contenente "$@0", un riferimento grezzo al chunk 0 —, il chunk in sospeso viene risolto e punta direttamente al chunk fittizio. Ciò attiva wakeChunk, che elabora i callback in coda e avvia la traversata della catena dei prototipi durante la risoluzione del riferimento. Una volta che il chunk falso è completamente risolto, wakeChunk viene chiamato di nuovo. Poiché la callback di risoluzione per il chunk falso è la funzione di risoluzione implicita di Node.js, essa invoca il metodo .then() del chunk e ne risolve il valore, costruendo ed eseguendo infine il codice dannoso iniettato tramite il costruttore Function.

Per eseguire l'exploit completo è sufficiente una sola richiesta HTTP:

I nostri colleghi hanno riprodotto la vulnerabilità in un ambiente di laboratorio controllato utilizzando un'applicazione Next.js standard generata con create-next-app e configurata per la produzione, senza apportare alcuna modifica alla configurazione predefinita. La riproduzione ha confermato che il payload dell'exploit a richiesta singola descritto sopra consente di eseguire codice in remoto in modo affidabile.

Il team di React ha rilasciato delle patch il 3 dicembre 2025, lo stesso giorno in cui la vulnerabilità è stata resa pubblica. Le versioni corrette sono disponibili come React 19.0.1, 19.1.2 e 19.2.1. La patch aggiunge una rigorosa convalida delle proprietà in getOutlinedModel() e reviveModel(), bloccando esplicitamente la risoluzione delle proprietà del prototipo ereditate - tra cui __proto__, constructor e prototype - dai percorsi di riferimento controllati dall'utente nei payload Flight.

Le organizzazioni dovrebbero adottare immediatamente le seguenti misure:

1. Aggiornare i pacchetti React a una versione corretta (19.0.1, 19.1.2 o 19.2.1) eseguendo npm install react-server-dom-webpack@latest, react-server-dom-parcel@latest o react-server-dom-turbopack@latest, a seconda dei casi.
2. Aggiornare le dipendenze dei framework - Next.js, React Router, Waku e altri framework interessati hanno rilasciato le relative patch. Consultare l'avviso del team di React per conoscere i percorsi di aggiornamento specifici per ciascuna versione.
3. Non affidatevi esclusivamente alle misure di mitigazione adottate dai fornitori di hosting: sebbene fornitori come Vercel abbiano implementato regole WAF temporanee in seguito alla divulgazione della vulnerabilità, si tratta di misure provvisorie che non sostituiscono l'applicazione delle patch ai pacchetti sottostanti.
4. Controlla i log del server alla ricerca di richieste POST dotate di intestazioni Next-Action con corpi multipart/form-data contenenti i pattern $@ o __proto__ e verifica la presenza di chiamate impreviste a child_process o execSync nei log dell'applicazione.

OPSWAT , una tecnologia proprietaria integrata nella piattaforma MetaDefender™, offre la visibilità e il controllo necessari per difendersi da vulnerabilità come CVE-2025-55182. Poiché questa vulnerabilità risiede nei pacchetti npm open-source (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack), le organizzazioni devono innanzitutto creare un inventario completo delle posizioni in cui questi componenti sono distribuiti all'interno della propria infrastruttura prima di poter procedere a una correzione efficace.