Vulnerabilidades críticas en React Server Components 2025
Vulnerabilidad crítica - 04/12
Introducción
CVE-2025-55182 es una vulnerabilidad de tipo ejecución remota de código (RCE), sin necesidad de autenticación en entornos con React Server Components (RSC). Dado el uso masivo de React y los frameworks basados en él en la web moderna, una estimación señala que alrededor de un 39 % de entornos cloud podrían contener instancias vulnerables.
Análisis
CVE-2025-55182 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10
CVE-2025-55182 está relacionada con una deserialización insegura puesto que cuando React o un framework que lo use procesa payloads, los interpreta sin validarlos correctamente, permitiendo que un atacante controle la ejecución en el servidor. La vulnerabilidad existe en configuraciones por defecto, por lo que muchas aplicaciones creadas con los métodos estándar serían vulnerables sin necesidad de modificaciones extra.
Versiones afectadas
La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
- Paquete web react-server-dom
- paquete dom del servidor react
- react-server-dom-turbopack
Frameworks basados en React RSC, especialmente Next.js con “App Router” (existen versiones vulnerables) también se ven afectados vía un CVE hermano: CVE-2025-66478, que comparte la misma causa raíz.
Otros frameworks, bundlers y plugins que implementan RSC como bundler plugins (Parcel RSC, Vite RSC), librerías como React Router (en su versión con RSC), SDKs como RedwoodSDK, Waku, y otros similares también pueden estar afectados.
Recomendaciones
- Aplicar las correcciones lo antes posible
- Implementar reglas de Firewall de aplicaciones web (WAF) si están disponibles
- Monitorear el tráfico HTTP a los puntos finales de la función del servidor para detectar cualquier solicitud sospechosa o malformada
- Considerar restringir temporalmente el acceso a la red a las aplicaciones afectadas
Workarounds
No hay workarounds para esta vulnerabilidad.