React Server Components sono stati l’argomento caldo di tutte le conferenze l’anno scorso. Rendering server-side fluido, idratazione zero-config — tutti pensavano a un 2025 in ascesa serena. Ma ecco il colpo di scena: il 3 dicembre il team React ha lanciato l’allarme. CVE-2025-55182. Esecuzione remota di codice non autenticata. CVSS 10.0. Punteggio massimo. Potenziale takeover completo.
Non si tratta di un banale buffer overflow da caso estremo. Un attaccante crea una richiesta HTTP malformata verso qualsiasi endpoint di React Server Functions. Bum — una falla di deserializzazione gli permette di eseguire codice arbitrario sul vostro server. Perfino se non usate direttamente le Server Functions. Basta aver abilitato i React Server Components? Siete vulnerabili.
Esiste una vulnerabilità di esecuzione remota di codice non autenticata nei React Server Components. Consigliamo l’aggiornamento immediato.
Parole dirette dall’avviso del team React. Niente giri di parole.
Versioni da 19.0 a 19.2.0. Patchate in 19.0.1, 19.1.2, 19.2.1. Un semplice npm update. Ma l’onda d’urto? Enorme. Next.js — da 13.3.x ai canary 16.x — con patch specifiche elencate. Le API RSC instabili di React Router. Waku, Parcel RSC, plugin Vite, RWSDK. I provider di hosting hanno tirato su protezioni temporanee (non contateci alla cieca).
La vostra app Next.js ha un bersaglio sulla schiena?
Next.js domina le distribuzioni React — oltre il 40% di market share secondo i sondaggi recenti. Se siete su 13.3 o superiori, fate npm install [email protected] per le linee 13/14. 15.x? Bloccate su 15.0.8-15.5.10. Canary? Tornate allo stable. I comandi sono tanti, ma ne saltate uno e siete fritti.
Guardate, i React Server Components (RSC) erano la scommessa grossa di Vercel — React full-stack senza gonfiare il client. L’adozione è schizzata dopo React 19. Ma questa vulnerabilità urla immaturità. Attacchi di deserializzazione? Roba antica. Pensate ai payload ysoserial di Java da un decennio fa. Il layer di traduzione HTTP-to-function di React? Spalancato.
E la ciliegina — la mia prospettiva unica qui — ricorda il caos di Log4Shell nel 2021. Quella libreria di logging Java conquistò il mondo JVM da un giorno all’altro. I parcel server DOM di React (webpack, turbopack) fanno lo stesso: feature server opt-in integrate nei framework che tutti usano. Risultato? Propagazione silente. Monorepo con React Native? Aggiornate solo i pacchetti server-dom. Ma la maggior parte non lo farà.
I framework si sono precipitati a tappare. Il blog di Next.js si è riempito di changelog. Expo, Redwood, Waku — tutti a patchare. Utenti React Native in monorepo? Aggiornamenti selettivi per evitare mismatch. Caos, ma contenuto — per ora.
Le dinamiche di mercato cambiano veloci. L’hype RSC ha portato Next.js a sussurri di valutazioni oltre i 2 miliardi per Vercel. Questa? Frena lo slancio. Team che guardano a Remix o solid starter (gioco di parole voluto) potrebbero tirarsi indietro. Perché rischiare RCE quando l’idratazione client-side va benissimo? Aspettatevi sondaggi Q1 2026 con un calo del 10-15% nell’attivazione RSC.
Perché non potete ignorare questa patch?
CVSS 10.0 non è esagerazione. Complessità d’attacco: bassa. Privilegi: nessuno. Scope: cambiato (colpisce il server dal client). Impatto totale su confidenzialità, integrità, disponibilità. Endpoint pubblici? Fine del gioco. Siti e-commerce su Next.js? Flussi di pagamento dirottati. Dashboard SaaS? Esfiltrazione dati a volontà.
Il team React ha coordinato il rollout — dettagli dopo la patch. Furbi. Ma il PR minimizza il raggio d’esplosione nell’ecosistema. “Se non usate server, sicuri.” Certo. Ma chi manda in produzione React solo client-side? Bundler come Vite, Parcel incorporano hook RSC. Dipendenze peer trascinano dentro React vulnerabile.
I percorsi di upgrade variano all’impazzata. Next.js canary su 14.3.0? Tornate allo stable 14. React Router? `npm
