Una vulnerabilità di massima gravità è stata recentemente scoperta in React Server Components e Next.js, mettendo a rischio milioni di applicazioni web in tutto il mondo. Questo difetto di sicurezza consente a un attaccante non autenticato di eseguire codice arbitrario sui server che utilizzano queste tecnologie, senza la necessità di alcun accesso privilegiato.
La vulnerabilità, classificata con punteggio CVSS 10.0, è stata individuata nel protocollo React Server Components (RSC), in particolare nella gestione dei payload inviati agli endpoint delle funzioni server. Un attaccante può sfruttare questa falla inviando una richiesta HTTP appositamente costruita, che, una volta elaborata dal server, porta all’esecuzione di codice malevolo. Il problema è presente anche nelle configurazioni predefinite dei framework, rendendo vulnerabili anche applicazioni che non implementano esplicitamente funzioni server.
Sono interessate le versioni 19.0, 19.1.0, 19.1.1 e 19.2.0 di React, nonché le versioni 15 e 16 di Next.js che utilizzano l’App Router. La vulnerabilità è stata risolta nelle versioni aggiornate di React e Next.js, che includono validazioni più rigorose e un comportamento di deserializzazione rafforzato.
Per proteggere le proprie applicazioni, è fondamentale aggiornare immediatamente a una versione patchata. In attesa dell’aggiornamento, si consiglia di implementare regole di Web Application Firewall (WAF), monitorare attentamente il traffico verso gli endpoint delle funzioni server e, se possibile, limitare temporaneamente l’accesso di rete alle applicazioni interessate.
La diffusione di questa vulnerabilità è estremamente ampia, dato che React e Next.js sono tra i framework più utilizzati per lo sviluppo web moderno. L’exploitation in ambienti reali è considerata imminente, rendendo l’aggiornamento una priorità assoluta per tutti gli sviluppatori e i responsabili della sicurezza.
