Un outage globale di Cloudflare è stato generato dall’applicazione urgente delle mitigazioni contro la vulnerabilità React2Shell (CVE-2025-55182). Il 5 dicembre 2025, una modifica critica al parsing del body HTTP causa un’ondata di errori 500 su siti di tutto il mondo, colpendo circa il 28 percento del traffico HTTP gestito dalla piattaforma. L’interruzione non deriva da un attacco informatico, ma dalle misure adottate per prevenire esecuzione di codice remoto non autenticata, una falla attivamente sfruttata da gruppi hacker legati alla Cina poche ore dopo la disclosure pubblica. Cloudflare interviene rapidamente, applica un fix correttivo e ripristina gradualmente i servizi, confermando l’integrità della propria infrastruttura e ribadendo la priorità assegnata alla sicurezza dei clienti.
Cosa leggere
Causa tecnica dell’outage Cloudflare: la patch di emergenza per React2Shell
La radice dell’incidente risiede nelle modifiche apportate al processing del body HTTP, introdotte da Cloudflare per mitigare la vulnerabilità React2Shell, che affligge versioni React 19.0, 19.1.0, 19.1.1 e 19.2.0, oltre ai framework collegati come Next.js, React Router e altri pacchetti basati su React Server Components Flight. Questa vulnerabilità consente remote code execution in applicazioni server-side esposte, sfruttando richieste HTTP malformate inviate verso endpoint vulnerabili. Cloudflare applica una patch di emergenza per bloccare pattern exploit noti, ma la nuova logica di parsing introduce instabilità inattese, causando la restituzione di errori 500 Internal Server Error su un’ampia porzione di servizi. Il CTO Dane Knecht conferma pubblicamente che l’outage deriva unicamente da queste mitigazioni e non da attività maliziose. La criticità della vulnerabilità – già sfruttata da gruppi come Earth Lamia e Jackpot Panda – spinge Cloudflare ad accelerare l’implementazione della patch, inevitabilmente modificando in corsa meccanismi sensibili del proprio edge network. Il fix correttivo successivo ripristina la stabilità del parsing HTTP, prevenendo ulteriori disservizi.
Impatto dell’outage: errori 500 globali, downtime diffuso e ripristino graduale
L’interruzione colpisce numerosi siti che usano Cloudflare come layer di performance, caching e sicurezza. Piattaforme e-commerce, media, servizi online e dashboard Cloudflare mostrano Internal Server Error e fallimenti nella gestione delle richieste API. Gli utenti segnalano i malfunzionamenti su scala globale, rilevando indisponibilità intermittente e instabilità della navigazione. L’outage influenza un traffico immenso, e le conseguenze includono perdite di revenue, rallentamenti nelle applicazioni mission-critical e una temporanea riduzione dell’affidabilità percepita verso l’infrastruttura Cloudflare. Tuttavia, la rapidità del fix contenitivo riduce la finestra di impatto: nel giro di poche ore, i siti cominciano a tornare online e lo status page conferma la progressiva normalizzazione dei servizi. Il downtime evidenzia come il supply chain digitale dipenda da un ristretto numero di provider globali, rendendo anche una mitigazione interna potenzialmente in grado di generare effetti a cascata su migliaia di applicazioni.
React2Shell: una vulnerabilità critica con exploitation immediata
La vulnerabilità React2Shell (CVE-2025-55182) deriva da difetti nel protocollo React Server Flight, che permette ai server React di scambiare dati strutturati tramite canali dedicati. La falla consente a un attaccante di inviare richieste appositamente costruite per ottenere Rce sui server che utilizzano pacchetti come react-server-dom-parcel e react-server-dom-webpack. La criticità aumenta perché la vulnerabilità agisce in modalità server-side, non richiede autenticazione e riguarda framework utilizzati massicciamente nel web moderno. Entro poche ore dalla divulgazione, gruppi hacker cinesi avviano campagne automatiche per sfruttare la falla, spingendo provider come Cloudflare a implementare mitigazioni immediate. Vendor come AWS confermano exploitation attiva e indicano l’aggiornamento a versioni sicure come React 19.0.1, 19.1.2 e 19.2.1, mentre avvertono che deployment self-managed devono applicare patch senza indugio. Le versioni Next.js interessate richiedono patch dedicate, e AWS aggiorna anche le regole WAF per mitigare richieste maliziose. La vulnerabilità mostra come falle nei framework open source possano diffondersi rapidamente nel settore e diventare vettori di attacco sistemici.
La risposta Cloudflare e le misure future
Cloudflare interviene rapidamente per correggere l’errore introdotto dal fix emergenziale e aggiorna costantemente la propria status page, mantenendo trasparenza durante la fase critica. L’azienda conferma che nessun sistema è stato compromesso e che l’integrità dei dati clienti resta intatta.
L’incidente porta Cloudflare a rafforzare i processi di:
- analisi preventiva delle patch,
- test di regressione per aggiornamenti ad alto rischio,
- gestione delle mitigazioni per vulnerabilità zero-day,
- coordinamento con vendor come Meta, Vercel e AWS.
Cloudflare investiga inoltre miglioramenti futuri nelle procedure di rollout progressivo delle patch, per evitare interruzioni simili e ridurre il rischio operativo nei momenti di risposta a vulnerabilità critiche.
