CVE-2025-55182: RCE nei componenti del server React
ID Bollettino: AWS-2025-030
Ambito:
AWS
Tipo di contenuto:
importante (richiede attenzione)
Data di pubblicazione: 03/12/2025 19:45 PST
Descrizione:
AWS è a conoscenza della vulnerabilità CVE-2025-55182, recentemente divulgata, che interessa il protocollo React Server Flight nelle versioni React 19.0, 19.1 e 19.2, nonché nelle versioni Next.js 15.x, 16.x, Next.js 14.3.0-canary.77 e successive release canary quando si utilizza App Router. Questa vulnerabilità può permettere l’esecuzione di codice in remoto (RCE) non autorizzata sui server applicativi coinvolti.
AWS è informata in merito alla vulnerabilità CVE-2025-66478, respinta in quanto duplicato della CVE-2025-55182.
I clienti che utilizzano servizi AWS gestiti non ne sono interessati, e non è richiesta alcuna azione da parte loro. I clienti che eseguono una versione interessata di React o Next.js nei propri ambienti dovrebbero eseguire immediatamente l’aggiornamento alle ultime versioni con patch:
- I clienti che utilizzano React 19.x, con Funzioni server e Componenti RSC, dovrebbero eseguire l’aggiornamento alle ultime versioni con patch 19.0.1, 19.1.2, e 19.2.1
- I clienti che utilizzano Next.js 15-16 con App Router dovrebbero eseguire l’aggiornamento a una versione con patch
La versione predefinita (1.24) del set di regole “AWSManagedRulesKnownBadInputsRuleSet” di AWS WAF comprende ora la regola aggiornata per questa vulnerabilità. Quale misura di protezione provvisoria, i clienti possono implementare una regola AWS WAF personalizzata atta a rilevare e impedire tentativi di exploit, ove applicabile. Consulta la sezione “Aggiungere una regola AWS WAF personalizzata” di seguito.
AWS sta monitorando attivamente la situazione per eventuali aggiornamenti in merito. Per maggiori dettagli o se hai bisogno di assistenza, apri un caso con il Supporto AWS.
Aggiungere una regola AWS WAF (Web Application Firewall) personalizzata
Per aggiungere una difesa in profondità (defense-in-depth) contro questa vulnerabilità, è possibile implementare una regola AWS WAF personalizzata. La regola AWS WAF seguente è attualmente impostata su BLOCK. Raccomandiamo di testare questa regola personalizzata per assicurarsi che non causi disservizi nell’ambiente operativo.
.
{
"Name": "ReactJSRCE_CUSTOM",
"Priority": 99,
"Statement": {
"AndStatement": {
"Statements": [
{
"RegexMatchStatement": {
"RegexString": "POST",
"FieldToMatch": {
"Method": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)(?:next-action|rsc-action-id)",
"FieldToMatch": {
"Headers": {
"MatchPattern": {
"All": {}
},
"MatchScope": "KEY",
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)\"status\"\\s*:\\s*\"resolved_model\"",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "\\$\\@",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"RuleLabels": [
{
"Name": "ReactJSRCE_Custom"
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "ReactJS_Custom"
}
}In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.