diciembre 4, 2025
nextjs-react.jpg

3 de diciembre de 2025Ravie LakshmananVulnerabilidad/Seguridad en la Nube

Se ha descubierto una vulnerabilidad de alta gravedad en React Server Components (RSC) que, si se explota con éxito, podría conducir a la ejecución remota de código.

La vulnerabilidad, rastreada como CVE-2025-55182, tiene una puntuación CVSS de 10,0.

Permite “la ejecución remota de código no autenticado al explotar una falla en la forma en que React decodifica las cargas enviadas a los puntos finales de la función React Server”, dijo el equipo de React en una alerta publicada hoy.

“Incluso si su aplicación no implementa los puntos finales de la función React Server, aún puede ser vulnerable si su aplicación es compatible con los componentes de React Server”.

Según la empresa de seguridad en la nube Wiz, el problema es una deserialización lógica causada por un procesamiento inseguro de las cargas RSC. Como resultado, un atacante no autenticado podría crear una solicitud HTTP maliciosa a cualquier punto final de función del servidor que, cuando React la deserializa, da como resultado la ejecución de código JavaScript arbitrario en el servidor.

Ciberseguridad

La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:

  • reaccionar-servidor-dom-webpack
  • reaccionar paquete dom del servidor
  • React-Server-Dom-Turbopack

El problema se resolvió en las versiones 19.0.1, 19.1.2 y 19.2.1. Al investigador de seguridad con sede en Nueva Zelanda, Lachlan Davidson, se le atribuye el descubrimiento y el informe de la falla el 29 de noviembre de 2025.

Vale la pena señalar que la vulnerabilidad también afecta a Next.js, que utiliza App Router. Al problema se le ha asignado el identificador CVE CVE-2025-66478 (puntuación CVSS: 10,0). Afecta a las versiones >=14.3.0-canary.77, >=15 y >=16. Las versiones parcheadas son 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.

Sin embargo, es probable que cualquier biblioteca que incluya RSC se vea afectada por el error. Estos incluyen el complemento Vite RSC, el complemento Parcel RSC, la vista previa de React Router RSC, RedwoodJS y Waku, entre otros.

Según Wiz, el 39% de los entornos de nube tienen instancias vulnerables a CVE-2025-55182 y/o CVE-2025-66478. Dada la gravedad de la vulnerabilidad, se recomienda a los usuarios que completen las correcciones lo más rápido posible para garantizar una protección óptima.

About The Author

desafiomayor

See author's posts

Related News

windows-update.jpg

Microsoft está solucionando silenciosamente el error LNK de Windows después de años de explotación activa

diciembre 4, 2025 0
wordpress.jpg

Una falla en los complementos de WordPress King bajo ataque activo permite a los piratas informáticos crear cuentas de administrador

diciembre 4, 2025 0

You may have missed

54599380127_df4ede7c18_c.jpg

El futuro de la tecnología profunda se le explicará el 3 de diciembre en StrictlyVC Palo Alto

diciembre 4, 2025 0
jay-kelly.jpg

Netflix en diciembre: mira 'Knives Out 3', 'Jay Kelly' y 11 películas nuevas más

diciembre 4, 2025 0
Crucial-ssd.jpeg

Crucial es víctima del hambre de RAM de la IA

diciembre 4, 2025 0
GettyImages-1955086330.jpg

La empresa de tecnología financiera Marquis advierte a decenas de bancos y cooperativas de crédito estadounidenses sobre una violación de datos luego de un ataque de ransomware

diciembre 4, 2025 0
screenshot-2023-12-05-at-11-36-20am.png

¿Te han decepcionado los precios de la pizza? Estos 8 utensilios y electrodomésticos de cocina se amortizarán solos

diciembre 4, 2025 0
gettyimages-2249189205.jpg

Premier League Soccer: transmite Sunderland vs Liverpool en vivo desde cualquier lugar

diciembre 4, 2025 0