Una vulnerabilidad de máxima gravedad, denominada 'React2Shell', en el protocolo 'Flight' de React Server Components (RSC) permite la ejecución remota de código sin autenticación en aplicaciones React y Next.js.
El problema de seguridad surge de una deserialización insegura. Recibió una puntuación de gravedad de 10/10 y se le asignaron los identificadores CVE-2025-55182 para React y CVE-2025-66478 (CVE rechazado en la base de datos nacional de vulnerabilidades) para Next.js.
investigador de seguridad Lachlan Davidson descubrió la falla y la informó a React el 29 de noviembre. Descubrió que un atacante podría lograr la ejecución remota de código (RCE) enviando una solicitud HTTP especialmente diseñada a los puntos finales de la función del servidor React.
«Incluso si su aplicación no implementa ningún punto final de la función React Server, aún puede ser vulnerable si su aplicación admite componentes de React Server (RCS)», advierte el aviso de seguridad de Reaccionar.
Los siguientes paquetes en su configuración predeterminada se ven afectados:
- reaccionar-servidor-dom-parcel
- reaccionar-servidor-dom-turbopack
- y reaccionar-servidor-dom-webpack
React es una biblioteca JavaScript de código abierto para crear interfaces de usuario. Meta lo mantiene y lo adoptan ampliamente organizaciones de todos los tamaños para el desarrollo web front-end.
Next.js, mantenido por Verceles un marco construido sobre React que agrega renderizado, enrutamiento y puntos finales API del lado del servidor.
Ambas soluciones están ampliamente presentes en entornos de nube a través de aplicaciones front-end que ayudan a escalar e implementar arquitecturas de manera más rápida y sencilla.
Investigadores de la plataforma de seguridad en la nube Wiz advertir que la vulnerabilidad es fácil de explotar y existe en la configuración predeterminada de los paquetes afectados.
Impacto y correcciones
Según React, la vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0. Next.js se ve afectado en las versiones canary experimentales que comienzan con 14.3.0-canary.77 y en todas las versiones de las ramas 15.x y 16.x inferiores a las versiones parcheadas.
La falla existe en el paquete 'react-server' utilizado por React Server Components (RSC), pero Next.js la hereda a través de su implementación del protocolo RSC «Flight».
Los investigadores de Wiz dicen que el 39% de todos los entornos de nube donde tienen visibilidad contienen instancias de Next.js o React ejecutando versiones vulnerables a CVE-2025-55182, CVE-2025-66478 o ambos.
Es probable que exista la misma vulnerabilidad en otras bibliotecas que implementan React Server, incluido el complemento Vite RSC, el complemento Parcel RSC, la vista previa de React Router RSC, RedwoodSDK y Waku.
Empresa de seguridad de la cadena de suministro de software Endor Labs explica que React2Shell «es una vulnerabilidad de deserialización lógicamente insegura donde el servidor no logra validar adecuadamente la estructura de las cargas útiles RSC entrantes».
Hay un error de validación al recibir datos con formato incorrecto del atacante, lo que resulta en la ejecución de código JavaScript privilegiado en el contexto del servidor.
Davidson creó un Sitio web de React2Shelldonde publicará detalles técnicos. El investigador también advierte que existen exploits de prueba de concepto (PoC) que no son genuinos.
Estos PoC invocan funciones como vm#ejecutarEnEsteContexto, proceso_niño#execy fs#escribirarchivo, pero un verdadero exploit no necesita esto, afirma el investigador.
«Esto sólo sería explotable si se hubiera elegido conscientemente permitir que los clientes los invocaran, lo que sería peligroso pase lo que pase», señala Davidson.
Explicó además que estas PoC falsas no funcionarían con Next.js ya que estas funciones no están presentes debido a que la lista de funciones del servidor se administra automáticamente.
Se recomienda encarecidamente a los desarrolladores que apliquen las correcciones disponibles en las versiones 19.0.1, 19.1.2 y 19.2.1 de React, y en las versiones 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 y 16.0.7 de Next.js.
Las organizaciones deben auditar sus entornos para determinar si utilizan una versión vulnerable y tomar las medidas adecuadas para mitigar el riesgo.
La popularidad de las dos soluciones se refleja en el número de descargas semanales, como cuenta React. 55,8 millones en el Administrador de paquetes de nodo (NPM), y Next.js tiene 16,7 millones en la misma plataforma.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
