Se ha descubierto una vulnerabilidad crítica en los React Server Components (RSC) que, si se explota, podría permitir la ejecución remota de código. Identificada como
CVE-2025-55182, presenta una puntuación CVSS de 10.0.
El equipo de React advirtió hoy sobre esta vulnerabilidad, que facilita la ejecución de código remoto sin necesidad de autenticación al aprovechar un error en la decodificación de las cargas útiles enviadas a los endpoints de
React Server Functions.
Aunque tu aplicación no utilice ningún endpoint de React Server Function, puede seguir siendo vulnerable si es compatible con React Server Components.
Si la aplicación React no se ejecuta en un servidor, esta vulnerabilidad no la afectará. Asimismo, si no se utiliza un framework, un bundler o un plugin compatible con los componentes de servidor de React, este problema no impactará la aplicación.
De acuerdo con la empresa de ciberseguridad
Wiz, la causa de la falla es una deserialización lógica originada en el procesamiento inseguro de las cargas útiles de RSC, lo que permitiría a un atacante no autenticado enviar una solicitud HTTP maliciosa que, tras ser deserializada por React, ejecutaría código JavaScript en el servidor.
Las versiones afectadas son 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Las versiones solucionadas son
19.0.1,
19.1.2,
y
19.2.1.
El descubrimiento de la vulnerabilidad fue realizado por el investigador neozelandés
Lachlan Davidson el 29 de noviembre de 2025.
¿Qué productos están en riesgo?
Cualquier framework o biblioteca que integre React-Server puede estar en riesgo. Esto incluye, entre otros:
- Next.js
- Plugin RSC para Vite
- Plugin RSC para Parcel
- Vista previa de React Router RSC
- RedwoodSDK
- Waku
No obstante, cualquier biblioteca que incluya RSC podría verse afectada por esta vulnerabilidad. Esto incluye también el plugin RSC de Vite, el plugin RSC de Parcel, la vista previa de React Router RSC, RedwoodJS y Waku.
Datos de Wiz indican que el 39% de los entornos en la nube utilizan versiones vulnerables a CVE-2025-55182 o CVE-2025-66478 de Next.js o React. Next.js está presente en el 69% de esos entornos, con un 61% de aplicaciones en línea que lo utilizan, lo que significa que el 44% de todas las instancias en la nube tienen aplicaciones de Next.js accesibles públicamente.
Dada la gravedad de la vulnerabilidad, se aconseja a los usuarios que apliquen las correcciones tan pronto como sea posible para garantizar una protección adecuada.
Fuente:
THN
Con Información de blog.segu-info.com.ar