Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en react create-react-app (CVE-2026-14802)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
06/07/2026
Última modificación:
06/07/2026

Descripción

Se ha detectado una vulnerabilidad en react create-react-app hasta la versión 5.0.1 en macOS. Esta afecta a la función startBrowserProcess del archivo openBrowser.js del componente react-dev-utils. La manipulación de esta función da lugar a una inyección de comandos del sistema operativo. Es posible explotar el ataque de forma remota. El código de explotación ya es público y puede utilizarse. Se informó al proyecto del problema de forma temprana a través de un informe de incidencia, pero aún no ha respondido.

Impacto

Puntuación base 4.0
5.50
Gravedad 4.0
MEDIA
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA