Se ha revelado una falla de seguridad de máxima gravedad en React Server Components (RSC) que podría permitir la ejecución remota de código si se explota con éxito.
Esta vulnerabilidad se rastrea como CVE-2025-55182 y tiene una puntuación CVSS de 10,0.
El equipo de React dijo en una alerta emitida hoy que esto permite «la ejecución remota de código no autenticado al explotar una falla en la forma en que React decodifica las cargas útiles enviadas a los puntos finales de la función del servidor React».
«Incluso si su aplicación no implementa el punto final de la función React Server, aún puede ser vulnerable si admite componentes de React Server».
Según la empresa de seguridad en la nube Wiz, el problema es un caso de deserialización lógica causada por el procesamiento de la carga útil RSC de forma insegura. Como resultado, un atacante no autenticado podría realizar una solicitud HTTP maliciosa a cualquier punto final de función del servidor y, una vez deserialado por React, podría ejecutar código JavaScript arbitrario en el servidor.
Esta vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
reaccionar servidor-dom-webpack reaccionar servidor-dom-parcel reaccionar servidor-dom-turbopack
Este problema se soluciona en las versiones 19.0.1, 19.1.2 y 19.2.1. Al investigador de seguridad con sede en Nueva Zelanda, Lachlan Davidson, se le atribuye el descubrimiento y el informe de la falla el 29 de noviembre de 2025.
Tenga en cuenta que esta vulnerabilidad también afecta a Next.js que utiliza App Router. A este problema se le ha asignado el identificador CVE CVE-2025-66478 (puntuación CVSS: 10,0). Afecta a las versiones 14.3.0-canary.77 y superiores, 15 y superiores, y 16 y superiores. Las versiones parcheadas son 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.
Sin embargo, cualquier biblioteca que incluya RSC puede verse afectada por esta falla. Esto incluye, entre otros, el complemento Vite RSC, el complemento Parcel RSC, la vista previa de React Router RSC, RedwoodJS y Waku.
Wiz dijo que el 39% de los entornos de nube tienen instancias vulnerables a CVE-2025-55182 y CVE-2025-66478. Dada la gravedad de la vulnerabilidad, recomendamos que los usuarios apliquen la solución lo antes posible para una protección óptima.
Source link
