Se ha revelado un fallo de seguridad de máxima gravedad en React Server
Components (RSC) que, de explotarse con éxito, podría provocar la ejecución
remota de código.
La vulnerabilidad, identificada como
CVE-2025-55182, tiene una puntuación CVSS de 10.0.
Según
declaró el equipo de React en una alerta emitida hoy, la vulnerabilidad permite la ejecución remota de código sin
autenticación
al explotar un fallo en la forma en que React decodifica las cargas útiles
enviadas a los endpoints de
React Server Function.
Incluso si su aplicación no implementa ningún endpoint de React Server
Function, podría ser vulnerable si es compatible con React Server Components.
Si el código React de la aplicación no usa un servidor, esta vulnerabilidad
no afecta a la aplicación. Si no se usa un framework, un
bundler o un plugin de bundler compatible con los
componentes de servidor de React, esta vulnerabilidad no afecta a la
aplicación.
Según la empresa de seguridad en la nube
Wiz, el problema se debe a una deserialización lógica derivada del procesamiento
inseguro de las cargas útiles de RSC. Como resultado, un atacante no
autenticado podría crear una solicitud HTTP maliciosa a cualquier endpoint de
función de servidor que, al ser deserializada por React, ejecute código
JavaScript arbitrario en el servidor.
La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de
los siguientes paquetes npm:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Se ha solucionado en las versiones
19.0.1,
19.1.2,
and
19.2.1.
El investigador de seguridad neozelandés
Lachlan Davidson
fue el responsable del descubrimiento y reporte de la falla el 29 de noviembre
de 2025.
¿Qué productos están afectados?
Es probable que cualquier framework o biblioteca que incluya la implementación
de React-Server se vea afectado. Esto incluye, entre otros:
- Next.js
- Plugin RSC de Vite
- Plugin RSC de Parcel
- Vista previa de React Router RSC
- RedwoodSDK
- Waku
No obstante, cualquier biblioteca que incluya RSC probablemente se vea
afectada por la falla.
Esto incluye, entre otros, el complemento Vite RSC, el complemento Parcel RSC,
la vista previa de React Router RSC, RedwoodJS y Waku.
Los datos de Wiz indican que el 39% de los entornos en la nube contienen
instancias de Next.js o React en versiones vulnerables a CVE-2025-55182 o
CVE-2025-66478. En cuanto a Next.js, el framework está presente en el 69% de
los entornos. Cabe destacar que el 61% de estos entornos tienen aplicaciones
públicas que ejecutan Next.js, lo que significa que el 44% de todos los
entornos en la nube tienen instancias de Next.js expuestas públicamente.
Dada la gravedad de la vulnerabilidad, se recomienda a los usuarios aplicar
las correcciones lo antes posible para una protección óptima.
Cloudflare ha implementado una nueva regla WAF
para proteger a sus clientes de esta vulnerabilidad. No es necesario
realizar ninguna acción; la regla está habilitada por defecto.
Fuente:
THN