La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó oficialmente el viernes una vulnerabilidad crítica que afecta a React Server Components (RSC) a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación activa en la naturaleza.
La vulnerabilidad, CVE-2025-55182 (Puntuación CVSS: 10.0) se refiere a un caso de ejecución remota de código que podría ser desencadenada por un atacante no autenticado sin necesidad de ninguna configuración especial. También se rastrea como React2Shell.
“Meta React Server Components contiene una vulnerabilidad de ejecución remota de código que podría permitir la ejecución remota de código no autenticado al explotar una falla en la forma en que React decodifica las cargas útiles enviadas a los puntos finales de la función React Server”, dijo CISA en un aviso.
El problema se debe a una deserialización insegura en el protocolo Flight de la biblioteca, que React utiliza para comunicarse entre un servidor y un cliente. Esto conduce a un escenario en el que un atacante remoto no autenticado puede ejecutar comandos arbitrarios en el servidor enviando solicitudes HTTP especialmente diseñadas.
“El proceso de convertir texto en objetos se considera ampliamente una de las clases de vulnerabilidades de software más peligrosas”, dijo Martin Zugec, Director de Soluciones Técnicas de Bitdefender. “La vulnerabilidad de React2Shell radica en el paquete React-Server, específicamente en la forma en que analiza las referencias de objetos durante la deserialización”.
La vulnerabilidad se solucionó en las versiones 19.0.1, 19.1.2 y 19.2.1 de las siguientes bibliotecas:
- reaccionar-servidor-dom-webpack
- reaccionar paquete dom del servidor
- React-Server-Dom-Turbopack
Algunos de los marcos posteriores que dependen de React también se ven afectados. Estos incluyen: Next.js, React Router, Waku, Parcel, Vite y RedwoodSDK.
El desarrollo se produce después de que Amazon informara que pocas horas después de revelar públicamente la falla, observó intentos de ataque provenientes de infraestructura vinculada a grupos de piratería chinos como Earth Lamia y Jackpot Panda. Coalition, Fastly, GreyNoise, VulnCheck y Wiz también informaron haber visto esfuerzos de explotación dirigidos a la vulnerabilidad, lo que sugiere que múltiples actores de amenazas están realizando ataques oportunistas.
 |
| Fuente de la imagen: GreyNoise |
Algunos de los ataques implicaron el uso de mineros de criptomonedas, así como la ejecución de comandos PowerShell “baratos” para garantizar una explotación exitosa, seguidos de la ejecución de comandos para colocar descargadores en memoria que pueden recuperar una carga útil adicional de un servidor remoto.
Según la plataforma de gestión de superficies de ataque Censys, hay aproximadamente 2,15 millones de instancias de servicios basados en Internet que podrían verse afectados por esta vulnerabilidad. Esto incluye servicios web expuestos que utilizan componentes de React Server e instancias expuestas de marcos como Next.js, Waku, React Router y RedwoodSDK.
En una declaración compartida con The Hacker News, la Unidad 42 de Palo Alto Networks dijo que había confirmado más de 30 organizaciones afectadas en numerosos sectores, con una serie de actividades consistentes con un equipo de piratería chino rastreado como UNC5174 (también conocido como CL-STA-1015). Los ataques se caracterizan por el uso de SNOWLIGHT y VShell.
“Observamos escaneos en busca de RCE vulnerables, actividades de reconocimiento, intentos de robo de archivos de credenciales y configuración de AWS e instalación de descargadores para recuperar cargas útiles de la infraestructura de comando y control del atacante”, dijo Justin Moore, gerente senior de investigación de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks.
El investigador de seguridad Lachlan Davidson, a quien se le atribuye haber descubierto e informado la falla, ha lanzado desde entonces varios exploits de prueba de concepto (PoC) que hacen imperativo que los usuarios actualicen sus instancias a la última versión lo más rápido posible. Un investigador taiwanés publicó otra PoC en funcionamiento bajo el nombre de usuario de GitHub “maple3142”.
Según la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 26 de diciembre de 2025 para realizar las actualizaciones necesarias para proteger sus redes.
About The Author
