Dos nuevos avisos de seguridad
Índice
- Ejecución remota de código en React Server Components
- Múltiples vulnerabilidades en Seafile
Ejecución remota de código en React Server Components
La vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de:
- paquete web react-server-dom (react-server-dom-webpack);
- paquete dom del servidor react (react-server-dom-parcel);
- react-server-dom-turbopack.
Importante: Incluso si la aplicación no implementa ningún endpoint de React Server Function, puede seguir siendo vulnerable si es compatible con React Server Components.
Los siguientes frameworks y empaquetadores de React:
- Next.js:
- Versiones anteriores a: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7;
- Versiones experimentales canary a partir de la 14.3.0-canary.77.
- react-router.
- waku.
- @parcel/rsc.
- @vitejs/plugin-rsc.
- rwsdk.
Si el código React de la aplicación no usa un servidor de React, o un framework, un bundler o un plugin de bundler compatible con los componentes de servidor de React, esta vulnerabilidad no afecta a la aplicación.
Lachlan Davidson ha informado sobre 1 vulnerabilidad de severidad crítica que permite la ejecución remota de código sin una autenticación previa.
Diversas fuentes han afirmado que esta vulnerabilidad podría estar siendo explotada.
Se recomienda actualizar inmediatamente a las versiones que incluyen los parches para subsanar esta vulnerabilidad. Estas versiones son 19.0.1, 19.1.2 y 19.2.1.
En caso de que se disponga de una aplicación que utilice el framework @vitejs/plugin-rsc se recomienda actualizar a @vitejs/plugin-rsc@0.5.3 o posteriores.
Para Next.js para las versiones 15.x y 16.x, actualizar a una versión estable y parcheada lo antes posible. Estas son las versiones: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 y 16.0.7. Para aquellos usuarios que utilicen 14.3.0-canary.77 o posterior, bajar a la versión estable 14.x o a la 14.3.0-canary.76.
CVE-2025-55182: vulnerabilidad de ejecución remota de código previa a la autenticación en algunas versiones de React Server Components que incluye los recursos afectados mencionados anteriormente. El código vulnerable deserializa de forma insegura las cargas útiles de las solicitudes HTTP a los puntos finales de la función del servidor. Un atacante, no autenticado, podría elaborar una solicitud HTTP perjudicial hacia cualquier punto final de Función de Servidor, que, al ser deserializada por React, posibilitaría que se ejecute código en el servidor desde un lugar remoto.
Múltiples vulnerabilidades en Seafile
Seafile, versión anteriores a 12.0.14.
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a Seafile, un software de código abierto para sincronizar y compartir archivos. Las vulnerabilidades han sido descubiertas por Arnau Sola López y Arnau Yepes Huguet.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41079 y CVE-2025-41080: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79.
Las vulnerabilidades han sido solucionadas por el equipo de Seafile en la versión 12.0.14.
Se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Seafile v12.0.10. Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en el navegador de la víctima mediante el almacenamiento de carga maliciosa. La relación de parámetros e identificadores asignados es la siguiente:
- CVE-2025-41079: PUT parámetro 'name' en '/api/v2.1/user/'.
- CVE-2025-41080: POST parámetro 'p' en '/api/v2.1/repos/{repo_id}/file/'.