Atención!: Vulnerabilidades Críticas en React y Next.js: Revisa si tus proyectos son vulnerables
En resumen:
- CVE-2025-55182 (React) y CVE-2025-66478 (Next.js) son vulnerabilidades críticas de RCE (Ejecución Remota de Código) no autenticadas en el protocolo "Flight" de React Server Components (RSC).
- Las configuraciones por defecto son vulnerables: una aplicación estándar de Next.js creada con
create-next-appy compilada para producción puede ser explotada sin cambios de código por parte del desarrollador. - La explotación requiere solo una solicitud HTTP manipulada y ha mostrado una fiabilidad cercana al 100% en las pruebas. La falla se origina en la deserialización insegura en la lógica de manejo de payloads de RSC, permitiendo que datos controlados por el atacante influyan en la ejecución del lado del servidor.
- Se requiere un parche inmediato. Hay versiones reforzadas disponibles para React y Next.js.
- Los datos de Wiz Research muestran que el 39% de los entornos cloud contienen instancias vulnerables.
Detalles Técnicos
Se ha identificado una vulnerabilidad crítica en el protocolo "Flight" de React Server Components (RSC), que afecta al ecosistema de React 19 y a los frameworks que lo implementan, principalmente Next.js. Asignada como CVE-2025-55182 (React) y CVE-2025-66478 (Next.js), esta falla permite la ejecución remota de código (RCE) no autenticada en el servidor debido a una deserialización insegura.
La vulnerabilidad existe en la configuración por defecto de las aplicaciones afectadas, lo que significa que los despliegues estándar están en riesgo inmediato. Debido a la alta severidad y la facilidad de explotación, se requiere un parcheo inmediato. Para mantener la seguridad del ecosistema mientras se aplican los parches, actualmente estamos reteniendo detalles específicos; los detalles proporcionados aquí están destinados únicamente a ayudar a los defensores a priorizar la remediación y comprender el riesgo. Actualizaremos este blog con información adicional a medida que salga a la luz.
¿Qué son CVE-2025-55182 y CVE-2025-66478?
CVE-2025-55182 es una vulnerabilidad crítica de ejecución remota de código (RCE) no autenticada en el paquete react-server utilizado por React Server Components (RSC). CVE-2025-66478 es la vulnerabilidad de RCE correspondiente en Next.js, que hereda la misma falla subyacente a través de su implementación del protocolo "Flight" de RSC.
La vulnerabilidad reside fundamentalmente en el paquete react-server y su manejo del protocolo "Flight" de RSC. Se caracteriza como una vulnerabilidad de deserialización lógica donde el servidor procesa los payloads de RSC de manera insegura. Cuando un servidor recibe un payload malformado y especialmente diseñado, no valida la estructura correctamente. Esto permite que datos controlados por el atacante influyan en la lógica de ejecución del lado del servidor, lo que resulta en la ejecución de código JavaScript privilegiado. En nuestra experimentación, la explotación de esta vulnerabilidad tuvo una alta fidelidad, con una tasa de éxito cercana al 100% y puede ser aprovechada para una ejecución remota de código completa. El vector de ataque es no autenticado y remoto, requiriendo solo una solicitud HTTP especialmente diseñada al servidor objetivo. Afecta la configuración por defecto de frameworks populares.
Datos de Wiz Research: ¿cuál es el riesgo para los entornos cloud?
Los datos de Wiz indican que el 39% de los entornos cloud contienen instancias de Next.js o React en versiones vulnerables a CVE-2025-55182 y/o CVE-2025-66478. En cuanto a Next.js, el framework en sí está presente en el 69% de los entornos. Cabe destacar que el 61% de esos entornos tienen aplicaciones públicas ejecutando Next.js, lo que significa que el 44% de todos los entornos cloud tienen instancias de Next.js expuestas públicamente.
¿Qué productos están afectados?
React: 19.0.0, 19.1.0, 19.2.0
19.0.1, 19.1.2, and 19.2.1
Next.js: 14.3.0-canary, 15.x, and 16.x (App Router)
14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
Cualquier framework o librería que incluya la implementación de react-server es probablemente afectada. Esto incluye, pero no se limita a:
- Next.js
- Vite RSC plugin
- Parcel RSC plugin
- React Router RSC preview
- RedwoodSDK
- Waku
¿Qué acciones deben tomar los equipos de seguridad?
- Actualizar React y las dependencias a las versiones reforzadas (ver arriba). Esta es la única mitigación definitiva.
- Si utilizan otros frameworks habilitados para RSC (Redwood, Waku, etc.), revisen sus canales oficiales para obtener actualizaciones sobre la versión de
react-serverincluida y actualicen inmediatamente.
Referencias
Fuentes
- Autores: Gili Tikochinski, Merav Bar, Danielle Aminov
- Original: www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
Related content
Anthropic revela que tan solo 250 documentos maliciosos pueden crear backdoors en cualquier modelo
Un pequeño número de samples puede envenenar LLMs de cualquier tamaño Pensabas que los modelos de lenguaje (Large Language Models, LLMs), entrenados con petabytes de datos, eran "inmunes" a unas pocas "manzanas podridas"?. Bueno, te equivocabas. Un estudio reciente de Anthropic reveló una verdad incómoda: tan
Read the full post →
sudo's latest "trick": when chroot and nsswitch conspire against you (cve-2025-32462)
Ah, sudo. The trusty command that grants mere mortals the power of a deity (root, that is) on a Linux system. It's the gatekeeper, the bouncer, the one program we all implicitly trust to elevate our privileges without turning our beloved machine into a digital wasteland. And precisely
Read the full post →
- Register with Email
