Investigadores de seguridad han identificado y comunicado dos nuevas vulnerabilidades en los Componentes de Servidor de React mientras investigaban los parches para la vulnerabilidad crítica anunciada la semana pasada.

Tras la divulgación de una vulnerabilidad crítica, los investigadores examinan el código circundante en busca de variaciones en las técnicas de explotación para determinar si pueden eludir las mitigaciones iniciales. Así se detectaron las nuevas vulnerabilidades.

Estas fallas están presentes en los mismos paquetes y versiones que CVE-2025-55182 (React2Shell), incluyendo las versiones 19.0.0, 19.0.1, 19.0.2, 19.1.0, 19.1.1, 19.1.2, 19.2.0, 19.2.1 y 19.2.2.

NOTA: estas vulnerabilidades no permiten la ejecución remota de código. El parche para React2Shell de la semana pasada sigue siendo efectivo para mitigar dicha vulnerabilidad, pero no cubre estos nuevos hallazgos.

Por lo tanto, si ya se aplicó la actualización para la vulnerabilidad crítica de la semana pasada, se recomienda hacerlo nuevamente. Las versiones 19.0.2, 19.1.3 y 19.2.2 son incompletas y deben actualizarse de nuevo.

Las correcciones se han integrado en las versiones 19.0.3, 19.1.4 y 19.2.3. Si está utilizando alguno de los paquetes mencionados, actualice a cualquiera de las versiones corregidas inmediatamente.

Como en ocasiones anteriores, si el código React de su aplicación no utiliza un servidor, su aplicación no se verá afectada por estas vulnerabilidades. Asimismo, si su aplicación no utiliza un framework, ni un paquete o complemento que dependa de los componentes de servidor de React, tampoco sufrirá dichas vulnerabilidades.

Algunos frameworks y bundlers que dependen de React incluyen los paquetes vulnerables. Los siguientes frameworks y bundlers de React están afectados:
next,
react-router,
waku,
@parcel/rsc,
@vite/rsc-plugin,
y rwsdk.

Puede consultar las instrucciones de actualización en la publicación anterior.

React Native

Para los usuarios de React Native que no utilizan un monorepo o react-dom, la versión de React debe estar especificada en el package.json y no se requieren pasos adicionales.

Si está utilizando React Native en un monorepo, solo se deberán actualizar los paquetes afectados, si están instalados:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Esto es necesario para mitigar los avisos de seguridad, y no es imprescindible actualizar react ni react-dom, lo que evita posibles conflictos de versiones en React Native.

Consulte este problema para obtener más información.

Denegación de servicio

Investigadores de seguridad han descubierto que es posible crear y enviar una solicitud HTTP maliciosa a cualquier endpoint de Server Functions. Esta solicitud, al ser deserializada por React, podría generar un bucle infinito que bloquee el proceso del servidor y consuma CPU. Incluso si la aplicación no implementa ningún endpoint de React Server Function, podría ser vulnerable si es compatible con los Componentes de Servidor de React.

Esto representa un vector de vulnerabilidad mediante el cual un atacante podría negar a los usuarios el acceso al servicio y, potencialmente, afectar el rendimiento del servidor.

La vulnerabilidad original fue identificada como CVE-2025-55184, sin embargo, la corrección que se introdujo para el ataque de denegación de servicio (DoS) estaba incompleta. Esto dejó vulnerables las versiones 19.0.2, 19.1.3 y 19.2.2. Las versiones 19.0.3, 19.1.4 y 19.2.3 son seguras.

Se han corregido casos adicionales y se ha presentado la solicitud CVE-2025-67779 (CVSS 7.5) para las versiones vulnerables. Los parches publicados hoy mitigarán esta vulnerabilidad evitando el bucle infinito.

Exposición del código fuente

Un investigador de seguridad ha encontrado que una solicitud HTTP maliciosa enviada a una función de servidor vulnerabilidad podría devolver de manera insegura el código fuente de cualquier función de servidor. La explotación requiere que exista una función de servidor que exponga, de manera explícita o implícita, un argumento en forma de cadena:


Se ha asignado el CVE-2025-55183 (CVSS 5.3) y los parches publicados hoy previenen la conversión en cadenas del código fuente de la Función de Servidor.

«Solo» se pueden exponer secretos del código fuente. Los secretos codificados en el código pueden ser expuestos, mientras que los secretos de tiempo de ejecución, como process.env.SECRET, no se ven afectados.

Fuente: React

Con Información de blog.segu-info.com.ar