Vulnerabilidad critica en React y Next.js
React a publicado en su sitio oficial un aviso de seguridad que aborda una nueva vulnerabilidad critica recién descubierta que afecta los componentes del Servidor React (RSC), la cual fue calificada con la puntuación más alta de CVSS de 10. Esta vulnerabilidad identificada como CVE-2025-55182 es ocasionada por la forma en la que el sistema procesa la renderización de componentes. Comúnmente para lograr la renderización React utiliza el protocolo de comunicación React Flight que se encarga de enviar componentes de servidores hacia navegadores web de forma segura.
En el caso de esta vulnerabilidad el proceso de renderización fue afectado, provocando que el sistema realice validaciones insuficientes al procesar específicamente componentes que incluyan paquetes como react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack. Esta falta de validación podría permitir que autores de amenazas se aprovechen de la vulnerabilidad para hacer que React realice interpretaciones y validación sin las medidas de seguridad adecuadas, lo que permitiría que logren enviar solicitudes HTTP especialmente diseñadas para provocar que React no valide los componentes y aun las ejecute.
La explotación de esta falla no requiere que los atacantes cuenten con credenciales de autentificación, debido a que el sistema no comprueba correctamente los permisos de usuario al ejecutar las solicitudes de los RSC. También es importante mencionar que los autores de amenazas pueden explotar esta vulnerabilidad de forma remota y como se menciono anteriormente sin necesidad de credenciales ni sesiones activas HTTP. En caso de que los autores de amenazas logren aprovecharse de la vulnerabilidad podrán ejecutar código arbitrario con privilegios de usuarios de administración en el sistema.
Esta vulnerabilidad pone en riesgo todos los entornos de desarrollo que tengan configurado componentes de Servidor React, pero el framework de desarrollo Next.js es el mas afectado ya que esta basado en React y por defecto tiene configurado los componentes del Servidor React (RSC) y el protocolo React Flight.
Versiones Afectadas
|
Producto |
Versión afectada |
Versión parcheada |
|
React |
19.0.0 |
19.0.1 |
|
React |
19.1.0 |
19.1.2 |
|
React |
19.1.1 |
19.1.2 |
|
React |
19.2.0 |
19.2.1 |
|
Next.js |
15.x |
15.0.5 |
|
Next.js |
16.x |
16.0.7 |
Recomendaciones
-
En caso de contar con alguna de las versiones afectadas por la vulnerabilidad siga las recomendaciones y actualice a las versiones parcheadas.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- CVE-2025-55182: RCE de deserialización de funciones de servidor de React y Next.js. (2025, Diciembre 03). Akamai. Recuperado el 04 de diciembre de 2025, en: https://www.akamai.com/blog/security-research/cve-2025-55182-react-nextjs-server-functions-deserialization-rce
- VulnCheck - Outpace adversaries. (2025, Diciembre 03). VulnCheck. Recuperado el 04 de diciembre de 2025, en: https://www.vulncheck.com/blog/cve-2025-55182-react-nextjs
- Organization, A. S. T. R. (2025, Diciembre 03). Critical React Server Components RCE (CVE-2025-55182): What You Need to Patch Now. Recuperado el 04 de diciembre de 2025, en: https://www.abstract.security/blog/critical-react-server-components-rce-cve-2025-55182-what-you-need-to-patch-now
- Story, J., & Markbåge, S. (2025, Diciembre 03). Security Advisory: CVE-2025-66478. Next.js. Recuperado el 04 de diciembre de 2025, en: https://nextjs.org/blog/CVE-2025-66478
