Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias CVE-2025-55182: Falla crítica en React RSC permite RCE

CVE-2025-55182: Falla crítica en React RSC permite RCE

por Dragora

Una vulnerabilidad catalogada con la máxima severidad posible ha puesto en alerta a la comunidad global de desarrolladores: CVE-2025-55182, un fallo crítico en React Server Components (RSC) que permite ejecución remota de código (RCE) sin autenticación. Con una puntuación CVSS de 10.0, esta falla representa uno de los riesgos más graves detectados en el ecosistema React y, por extensión, en frameworks que dependen de su arquitectura, como Next.js.

El equipo de React emitió una alerta oficial confirmando que el fallo reside en la forma en que el framework decodifica las cargas útiles enviadas a los endpoints de React Server Functions. Incluso si una aplicación no implementa directamente estos endpoints, basta con que utilice React Server Components para quedar expuesta al ataque, lo que amplía enormemente el alcance de la vulnerabilidad.


Cómo funciona la vulnerabilidad y por qué es tan peligrosa

De acuerdo con la firma de ciberseguridad en la nube Wiz, CVE-2025-55182 es un caso de deserialización lógica insegura, un tipo de vulnerabilidad extremadamente severa en aplicaciones modernas. Este fallo surge porque React procesa cargas útiles RSC sin aplicar las validaciones de seguridad necesarias, permitiendo así que un atacante manipule la forma en que se interpreta el contenido recibido por el servidor.

Un atacante no autenticado puede:

  • Crear una solicitud HTTP maliciosa hacia cualquier punto final de React Server Functions.

  • Lograr que React deserialice esa carga útil de forma insegura.

  • Finalmente ejecutar código JavaScript arbitrario en el servidor, obteniendo control total o comprometiendo datos críticos.

El riesgo es especialmente alto en aplicaciones empresariales, servicios web con tráfico masivo y plataformas que utilizan RSC para optimizar el renderizado del lado del servidor.


Paquetes npm afectados por CVE-2025-55182

El fallo afecta de manera directa a varias implementaciones de React Server Components en el ecosistema npm. Las versiones vulnerables incluyen:

  • react-server-dom-webpack — versiones 19.0, 19.1.0, 19.1.1 y 19.2.0

  • react-server-dom-parcel — versiones 19.0, 19.1.0, 19.1.1 y 19.2.0

  • react-server-dom-turbopack — versiones 19.0, 19.1.0, 19.1.1 y 19.2.0

Las versiones corregidas que mitigan el problema son:

  • 19.0.1, 19.1.2 y 19.2.1

El investigador neozelandés Lachlan Davidson fue quien descubrió y reportó la vulnerabilidad el 29 de noviembre de 2025, siendo reconocido por su contribución en la mejora de la seguridad del ecosistema.


Impacto en Next.js: CVE-2025-66478 también con CVSS 10.0

La gravedad del problema no se limita a React. La vulnerabilidad también afecta a Next.js, uno de los frameworks más populares para desarrollo web moderno, a través de su soporte para App Router y React Server Components. Este fallo relacionado ha sido registrado como CVE-2025-66478, también con una puntuación CVSS de 10.0.

Las versiones vulnerables incluyen:

  • ≥14.3.0-canary.77

  • ≥15

  • ≥16

Las versiones parcheadas que corrigen la vulnerabilidad son:

  • 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5

La amplia adopción de Next.js hace que el impacto potencial sea enorme, especialmente entre empresas que utilizan este framework para construir aplicaciones críticas de alto rendimiento.


Otras bibliotecas afectadas por el uso de React Server Components

Dado que el fallo se encuentra en el mecanismo central de deserialización de RSC, cualquier biblioteca que lo implemente o lo integre queda potencialmente vulnerable. Según los expertos, esto incluye:

  • Plugin Vite RSC

  • Plugin Parcel RSC

  • React Router RSC preview

  • Framework RedwoodJS

  • Framework Waku

El alcance es significativo, ya que muchas herramientas emergentes han adoptado RSC como parte de sus pipelines de renderizado moderno.


39% de los entornos en la nube están expuestos

Según los datos recopilados por Wiz, el 39% de los entornos en la nube actualmente activos presentan instancias vulnerables a CVE-2025-55182 o a CVE-2025-66478. Esta cifra refleja una exposición masiva en infraestructuras empresariales, startups y plataformas SaaS que dependen de React y Next.js para su operación diaria.

La combinación de una vulnerabilidad de ejecución remota de código, la facilidad del ataque y el nivel de adopción global convierten este fallo en una amenaza crítica de carácter urgente.


Recomendaciones de seguridad y pasos inmediatos

Dada la severidad del problema, los expertos recomiendan aplicar de inmediato las actualizaciones parcheadas correspondientes:

  • Actualizar React Server Components a las versiones 19.0.1, 19.1.2 o 19.2.1.

  • Actualizar Next.js a una de las versiones que contienen el parche de seguridad.

  • Auditar bibliotecas dependientes de RSC dentro del proyecto.

  • Revisar logs y endpoints expuestos a solicitudes HTTP no autenticadas.

  • Aplicar reglas WAF o middleware temporal para bloquear cargas RSC sospechosas.

En entornos empresariales, también se recomienda activar sistemas de detección de intrusiones (IDS) y aumentar la observabilidad del lado del servidor para detectar comportamientos inusuales.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!