{"id":273906,"date":"2025-12-06T08:51:13","date_gmt":"2025-12-06T08:51:13","guid":{"rendered":"https:\/\/www.europesays.com\/es\/273906\/"},"modified":"2025-12-06T08:51:13","modified_gmt":"2025-12-06T08:51:13","slug":"falla-critica-en-react-y-next-js-expone-millones-de-apps-cvss-10","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/es\/273906\/","title":{"rendered":"falla cr\u00edtica en React y Next.js expone millones de apps (CVSS 10)"},"content":{"rendered":"

Una vulnerabilidad grave permite ejecuci\u00f3n remota de c\u00f3digo en servidores que usan React Server Components. Descubre c\u00f3mo proteger tu aplicaci\u00f3n.<\/p>\n

\"Mar\u00eda<\/a><\/p>\n

\n 05 Dec 2025
\n \u00a0\u2022\u00a0
\n ,
\n 3 min. read\n <\/p>\n

\"React2Shell: <\/p>\n

Se han descubierto vulnerabilidades cr\u00edticas (CVSS 10)<\/a> que afectan a React y Next.js, y permiten RCE (ejecuci\u00f3n remota de c\u00f3digo sin autenticaci\u00f3n).<\/p>\n

Aplicaciones que utilizan React Server Components (RSC) pueden estar en riesgo incluso sin endpoints de Server Functions expuestos.<\/p>\n

\nActualizaci\u00f3n: explotaci\u00f3n activa de React2Shell<\/strong>
AWS advirti\u00f3 que la vulnerabilidad React2Shell (CVE-2025-55182) ya est\u00e1 siendo utilizada en ataques dirigidos<\/a> por grupos con nexos en China. La explotaci\u00f3n comenz\u00f3 pocas horas despu\u00e9s de la divulgaci\u00f3n p\u00fablica y se han detectado intentos contra aplicaciones en sectores cr\u00edticos como finanzas, retail y gobierno. Adem\u00e1s, existen pruebas de concepto disponibles en GitHub, lo que aumenta el riesgo de ataques masivos.\n<\/p><\/blockquote>\n

Popularidad e impacto potencial<\/p>\n

Estas tecnolog\u00edas son muy populares (React tiene 55,8 millones de descargas semanales en NPM) y seg\u00fan informaci\u00f3n relevada por Wiz Research<\/a>, el 39 % de los entornos cloud contienen instancias vulnerables de React y Next.js afectadas por estas fallas cr\u00edticas (CVE-2025-55182 y CVE-2025-66478).<\/p>\n

Esto significa que equipos que desarrollan aplicaciones con estos frameworks deben actuar de inmediato para evitar compromisos en producci\u00f3n.<\/p>\n

Impacto en la industria<\/p>\n

Servicios populares que dependen de React y Next.js \u2014como plataformas de e-commerce, redes sociales, aplicaciones bancarias, herramientas de productividad y sitios de streaming\u2014 podr\u00edan estar en riesgo si no aplican los parches. Esto significa que un atacante podr\u00eda comprometer servidores que alojan aplicaciones ampliamente utilizadas, afectando la disponibilidad, integridad y privacidad de millones de usuarios.<\/p>\n

Incluso si tu aplicaci\u00f3n no implementa endpoints de React Server Functions, puede ser vulnerable si soporta React Server Components.<\/p>\n

C\u00f3mo puede explotarse la falla<\/p>\n

La falla, reportada por Lachlan Davidson, surge por una deserializaci\u00f3n insegura<\/a>: el servidor no valida correctamente la estructura de los datos que recibe. Esto permite que un atacante env\u00ede una solicitud HTTP malformada y ejecute c\u00f3digo JavaScript con privilegios en el servidor.
En concreto, el problema ocurre al decodificar payloads del protocolo Flight de RSC, lo que abre la puerta a RCE.<\/p>\n

Paquetes y versiones afectadas React:<\/p>\n

Afecta configuraciones por defecto en paquetes react-server-dom-* y en Next.js App Router; incluso apps que no exponen Server Functions pueden ser vulnerables si soportan RSC.<\/p>\n

React:<\/p>\n