Explotación de la vulnerabilidad React2Shell (CVE-2025-55182)

La vulnerabilidad conocida como React2Shell (CVE-2025-55182) fue divulgada públicamente a comienzos de diciembre de 2025, cuando el equipo de React emitió un aviso de seguridad urgente alertando de un fallo crítico en su arquitectura de componentes de servidor. En ese mismo periodo, el ecosistema de frameworks que dependen de React, especialmente Next.js, comenzó a evaluar el impacto del problema. En cuestión de días, la comunidad de ciberseguridad y múltiples empresas tecnológicas confirmaron la gravedad de la vulnerabilidad, destacando su potencial para permitir ejecución remota de código sin autenticación. La rapidez con la que se difundió la información hizo que numerosos equipos de desarrollo activaran protocolos de respuesta ante incidentes.

Esta vulnerabilidad permite a atacantes explotar fallos en el mecanismo de serialización de React Server Components, facilitando la ejecución de código malicioso en servidores que ejecutan aplicaciones afectadas. Poco después de su divulgación, se detectaron campañas activas de explotación, algunas atribuidas a grupos organizados, que aprovecharon el fallo para comprometer sistemas y extraer datos sensibles como credenciales, tokens y configuraciones internas. Entre los principales afectados se encuentran empresas que utilizan aplicaciones construidas con React y Next.js, incluyendo plataformas en producción que no habían aplicado los parches a tiempo. Como respuesta, los equipos de desarrollo de React y proveedores como Vercel publicaron actualizaciones de seguridad y guías de mitigación, recomendando actualizar dependencias, restringir endpoints vulnerables y monitorizar accesos sospechosos. Además, empresas de ciberseguridad emitieron alertas urgentes ante la explotación activa a gran escala.

En el estado actual, la vulnerabilidad se considera conocida y parcialmente contenida, aunque sigue representando un riesgo significativo en sistemas que no han sido actualizados o auditados correctamente. A lo largo de 2026 se han seguido detectando campañas que explotan instancias desprotegidas, lo que indica que el problema persiste más allá de su divulgación inicial.