Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución remota de código en React Server Components

Fecha de publicación 04/12/2025
Identificador
INCIBE-2025-0685
Importancia
5 - Crítica
Recursos Afectados

La vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de:

  • paquete web react-server-dom (react-server-dom-webpack);
  • paquete dom del servidor react (react-server-dom-parcel);
  • react-server-dom-turbopack.

Importante: Incluso si la aplicación no implementa ningún endpoint de React Server Function, puede seguir siendo vulnerable si es compatible con React Server Components.

Los siguientes frameworks y empaquetadores de React: 

  • Next.js:
    • Versiones anteriores a: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7;
    • Versiones experimentales canary a partir de la 14.3.0-canary.77.
  • react-router.
  • waku.
  • @parcel/rsc.
  • @vitejs/plugin-rsc.
  • rwsdk.

Si el código React de la aplicación no usa un servidor de React, o un framework, un bundler o un plugin de bundler compatible con los componentes de servidor de React, esta vulnerabilidad no afecta a la aplicación.

Descripción

Lachlan Davidson ha informado sobre 1 vulnerabilidad de severidad crítica que permite la ejecución remota de código sin una autenticación previa.

Diversas fuentes han afirmado que esta vulnerabilidad podría estar siendo explotada.

Solución

Se recomienda actualizar inmediatamente a las versiones que incluyen los parches para subsanar esta vulnerabilidad. Estas versiones son 19.0.1, 19.1.2 y 19.2.1.

En caso de que se disponga de una aplicación que utilice el framework @vitejs/plugin-rsc se recomienda actualizar a @vitejs/plugin-rsc@0.5.3 o posteriores.

Para Next.js para las versiones 15.x y 16.x, actualizar a una versión estable y parcheada lo antes posible. Estas son las versiones: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 y 16.0.7. Para aquellos usuarios que utilicen 14.3.0-canary.77 o posterior, bajar a la versión estable 14.x o a la 14.3.0-canary.76.

Detalle

CVE-2025-55182: vulnerabilidad de ejecución remota de código previa a la autenticación en algunas versiones de React Server Components que incluye los recursos afectados mencionados anteriormente. El código vulnerable deserializa de forma insegura las cargas útiles de las solicitudes HTTP a los puntos finales de la función del servidor. Un atacante, no autenticado, podría elaborar una solicitud HTTP perjudicial hacia cualquier punto final de Función de Servidor, que, al ser deserializada por React, posibilitaría que se ejecute código en el servidor desde un lugar remoto.

CVE
Explotación
Nuevo Fabricante
React
Identificador CVE
CVE-2025-55182
Severidad
Crítica
Listado de referencias
Critical Security Vulnerability in React Server Components
React Server Components are Vulnerable to RCE
React Server Components are Vulnerable to RCE
Vulnerability affects Facebook
Vulnerability in React Server Components
Next.js is vulnerable to RCE in React flight protocol
Etiquetas