Un nuevo aviso de seguridad y una actualización
Índice
- Múltiples vulnerabilidades en productos de Apple
- [Actualización 15/12/2025] Ejecución remota de código en React Server Components
Múltiples vulnerabilidades en productos de Apple
Las versiones anteriores a la 26.2 de:
- Safari.
- visionOS.
- watchOS.
- tvOS.
- macOS Tahoe
- iOS 26.2 and iPadOS.
Las versiones anteriores de:
- macOS Sonoma versión 14.8.3.
- macOS Sequoia versión 15.7.3.
- iOS 18.7.3 and iPadOS 18.7.3
Apple Security Engineering and Architecture (SEAR) ha reportado 9 notas de seguridad informando de varias vulnerabilidades en sus productos. Entre estas vulnerabilidades, se encuentran dos que podrían estar siendo explotadas.
Se recomienda actualizar a la última versión estable de los productos afectados.
CVE-2025-43529: vulnerabilidad de uso posterior a la liberación en WebKit, disponible para macOS Sonoma, macOS Sequoiaque, Apple Vision Pro, Apple Watch Series 6 and posteriores, Apple TV HD, Apple TV 4K, macOS Tahoe y iPhone.
CVE-2025-14174: vulnerabilidad sobre el procesamiento de contenido web malicioso en WebKit, disponible para macOS Sonoma, macOS Sequoia, Apple Vision Pro, Apple Watch Series 6 and posteriores, Apple TV HD, Apple TV 4K, macOS Tahoe y iPhone.
Apple tiene constancia de un informe que indica que estas vulnerabilidades podrían haber sido explotadas en un ataque extremadamente sofisticado contra individuos específicos. En el caso de que fuesen explotadas, estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario y/o provocar daños en la memoria de los dispositivos afectados al procesar contenido web creado con fines maliciosos.
[Actualización 15/12/2025] Ejecución remota de código en React Server Components
La vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de:
- paquete web react-server-dom (react-server-dom-webpack);
- paquete dom del servidor react (react-server-dom-parcel);
- react-server-dom-turbopack.
Importante: Incluso si la aplicación no implementa ningún endpoint de React Server Function, puede seguir siendo vulnerable si es compatible con React Server Components.
Los siguientes frameworks y empaquetadores de React:
- Next.js:
- Versiones anteriores a: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7;
- Versiones experimentales canary a partir de la 14.3.0-canary.77.
- react-router.
- waku.
- @parcel/rsc.
- @vitejs/plugin-rsc.
- rwsdk.
Si el código React de la aplicación no usa un servidor de React, o un framework, un bundler o un plugin de bundler compatible con los componentes de servidor de React, esta vulnerabilidad no afecta a la aplicación.
Lachlan Davidson ha informado sobre 1 vulnerabilidad de severidad crítica que permite la ejecución remota de código sin una autenticación previa. A esta vulnerabilidad se le a otorgado en nombre de React2Shell.
Diversas fuentes han afirmado que esta vulnerabilidad podría estar siendo explotada.
Se recomienda actualizar inmediatamente a las versiones que incluyen los parches para subsanar esta vulnerabilidad. Estas versiones son 19.0.1, 19.1.2 y 19.2.1.
En caso de que se disponga de una aplicación que utilice el framework @vitejs/plugin-rsc se recomienda actualizar a @vitejs/plugin-rsc@0.5.3 o posteriores.
Para Next.js para las versiones 15.x y 16.x, actualizar a una versión estable y parcheada lo antes posible. Estas son las versiones: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 y 16.0.7. Para aquellos usuarios que utilicen 14.3.0-canary.77 o posterior, bajar a la versión estable 14.x o a la 14.3.0-canary.76.
[Actualización 15/10/2025]
Los parches publicados anteriormente son vulnerables, por lo que se recomienda actualizar nuevamente a las versiones: 19.0.2, 19.1.3 y 19.2.2
CVE-2025-55182: vulnerabilidad de ejecución remota de código previa a la autenticación en algunas versiones de React Server Components que incluye los recursos afectados mencionados anteriormente. El código vulnerable deserializa de forma insegura las cargas útiles de las solicitudes HTTP a los puntos finales de la función del servidor. Un atacante, no autenticado, podría elaborar una solicitud HTTP perjudicial hacia cualquier punto final de Función de Servidor, que, al ser deserializada por React, posibilitaría que se ejecute código en el servidor desde un lugar remoto.
[Actualización 09/10/2025]
Específicamente, para el marco de Next.js se ha asignado el identificador CVE-2025-66478.
[Actualización 15/10/2025]
Los investigadores de seguridad encontraron y revelaron dos vulnerabilidades adicionales en React Server Components mientras intentaban explotar los parches en la vulnerabilidad crítica CVE-2025-55182. Las nuevas vulnerabilidades se revelan como:
- CVE-2025-55184 y CVE-2025-67779: ambas de tipo denegación de servicio de severidad alta.
- CVE-2025-55183: de exposición de código fuente y severidad media.