Defensores de la seguridad informática se preparan ante la divulgación de una vulnerabilidad de máxima gravedad detectada en React Server, un paquete de código abierto ampliamente utilizado en sitios web y entornos de nube. La vulnerabilidad es de fácil explotación y permite a atacantes ejecutar código malicioso en los servidores que lo utilizan.
React está integrado en aplicaciones web que se ejecutan en servidores, permitiendo que dispositivos remotos rendericen JavaScript y contenido de manera más rápida y con menos recursos. Se estima que React es utilizado por el 6 por ciento de todos los sitios web y el 39 por ciento de los entornos de nube. Cuando los usuarios recargan una página, React permite a los servidores volver a renderizar solo las partes que han cambiado, una característica que acelera drásticamente el rendimiento y reduce los recursos informáticos requeridos por el servidor.
Una calificación perfecta de 10
La firma de seguridad Wiz informó que la explotación de esta vulnerabilidad requiere solo una única petición HTTP y demostró una fiabilidad “casi del 100%” en sus pruebas. Múltiples frameworks y librerías de software incorporan implementaciones de React por defecto. Como resultado, incluso cuando las aplicaciones no utilizan explícitamente la funcionalidad de React, pueden ser vulnerables, ya que la capa de integración invoca el código defectuoso.
La combinación del uso generalizado de React, particularmente en entornos de nube, la facilidad de explotación y la capacidad de ejecutar código que otorga a los atacantes control de los servidores, ha valido a esta vulnerabilidad una calificación de gravedad de 10, la puntuación más alta posible. En redes sociales, defensores de la seguridad e ingenieros de software instaron a todos los responsables de aplicaciones relacionadas con React a instalar inmediatamente la actualización publicada el miércoles.
Un investigador escribió: “Normalmente no digo esto, pero parcheen ahora mismo. El listado CVE de React (CVE-2025-55182) es un perfecto 10”.
Las versiones 19.0.1, 19.1.2 y 19.2.1 de React contienen el código vulnerable. Los componentes de terceros que se sabe que están afectados incluyen:
- Vite RSC plugin
- Parcel RSC plugin
- React Router RSC preview
- RedwoodSDK
- Waku
- Next.js
Según Wiz y la también firma de seguridad Aikido, la vulnerabilidad, identificada como CVE-2025-55182, reside en Flight, un protocolo presente en los Componentes de Servidor de React. Next.js ha asignado la designación CVE-2025-66478 para rastrear la vulnerabilidad en su paquete.
La vulnerabilidad se origina en la deserialización insegura, el proceso de codificación que convierte cadenas, flujos de bytes y otros formatos “serializados” en objetos o estructuras de datos en el código. Los atacantes pueden explotar la deserialización insegura utilizando cargas útiles que ejecutan código malicioso en el servidor. Las versiones parcheadas de React incluyen una validación más estricta y un comportamiento de deserialización reforzado.
“Cuando un servidor recibe una carga útil malformada y especialmente diseñada, no valida la estructura correctamente”, explicó Wiz. “Esto permite que los datos controlados por el atacante influyan en la lógica de ejecución del lado del servidor, lo que resulta en la ejecución de código JavaScript privilegiado”.
La compañía añadió:
En nuestra experimentación, la explotación de esta vulnerabilidad tuvo una alta fidelidad, con una tasa de éxito cercana al 100% y puede ser aprovechada para una ejecución remota de código completa. El vector de ataque no está autenticado y es remoto, requiriendo solo una petición HTTP especialmente diseñada al servidor objetivo. Afecta la configuración predeterminada de frameworks populares.
Ambas compañías recomiendan a administradores y desarrolladores actualizar React y cualquier dependencia que se base en él. Los usuarios de cualquiera de los frameworks y plugins habilitados para acceso remoto mencionados anteriormente deben consultar con los mantenedores para obtener orientación. Aikido también sugiere que los administradores y desarrolladores escaneen sus bases de código y repositorios en busca de cualquier uso de React.
Fuente original: ver aquí