El equipo de React ha publicado correcciones para dos nuevos tipos de defectos en los componentes del servidor React (RSC). La explotación exitosa puede conducir a una denegación de servicio (DoS) o a la divulgación del código fuente.
Según el equipo, la comunidad de seguridad descubrió este problema al intentar explotar un parche lanzado para CVE-2025-55182 (puntaje CVSS: 10.0). CVE-2025-55182 (puntuación CVSS: 10.0) es un error crítico en RSC que desde entonces se ha convertido en un arma en la naturaleza.
Las tres vulnerabilidades se enumeran a continuación.
CVE-2025-55184 (Puntuación CVSS: 7,5): vulnerabilidad de denegación de servicio previa a la autenticación debido a una deserialización insegura de la carga útil de una solicitud HTTP a un punto final de función de servidor. Esto puede provocar un bucle infinito y bloquear el proceso del servidor, impidiéndole procesar futuras solicitudes HTTP. CVE-2025-67779 (Puntuación CVSS: 7,5): solución incompleta con el mismo impacto CVE-2025-55184 CVE-2025-55183 (Puntuación CVSS: 5,3): Vulnerabilidad de divulgación de información donde se envía una solicitud HTTP especialmente diseñada a una función de servidor vulnerable, lo que potencialmente devuelve el código fuente de una función de servidor arbitraria.
Sin embargo, la explotación exitosa de CVE-2025-55183 requiere la presencia de una función de servidor que exponga explícita o implícitamente sus argumentos al formato de cadena.
Defectos que afectan a las siguientes versiones de act-server-dom-parcel, react-server-dom-turbopack y react-server-dom-webpack:
CVE-2025-55184 y CVE-2025-55183 – 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 y 19.2.1 CVE-2025-67779 – 19.0.2, 19.1.3 y 19.2.2
A los investigadores de seguridad RyutaK y Shinsaku Nomura se les atribuye haber informado de dos errores de DoS al programa Meta Bug Bounty, y a Andrew MacPherson se le atribuye haber informado de la falla de divulgación de información.
Recomendamos que los usuarios actualicen a las versiones 19.0.3, 19.1.4 y 19.2.3 lo antes posible, especialmente a la luz de la investigación activa de CVE-2025-55182.
«Cuando se revela una vulnerabilidad crítica, los investigadores examinan las rutas de código adyacentes, buscando técnicas de explotación variantes para probar si las mitigaciones iniciales se pueden eludir», dijo el equipo de React. «Este patrón se observa en todas las industrias, no solo en JavaScript. Las revelaciones adicionales pueden ser frustrantes, pero generalmente son una señal de un ciclo de respuesta saludable».
Source link
