Vulnerabilidad crítica en React Server Components (CVE-2025-55182): qué pasó y cómo proteger tus aplicaciones

1. Contexto: la vulnerabilidad crítica en React de nivel 10

El 3 de diciembre de 2025, el equipo de React publicó un aviso oficial sobre una vulnerabilidad de ejecución remota de código (RCE) no autenticada en React Server Components (RSC), registrada como CVE-2025-55182.React

La falla reside en cómo React decodifica los payloads enviados a los endpoints de React Server Functions. En determinadas condiciones, un atacante puede enviar una petición especialmente diseñada y conseguir ejecutar código arbitrario en el servidor sin necesidad de estar autenticado.CERT-EU+1

El impacto es grande porque esta funcionalidad forma parte del ecosistema de React 19 y de frameworks muy usados, como Next.js, que publicó su propio aviso bajo el identificador CVE-2025-66478.Next.js+1

La severidad asignada es CVSS 10.0, el máximo nivel posible, lo que indica un riesgo extremo si no se aplican las actualizaciones.eSentire+1

2. Qué proyectos están afectados

Según los avisos técnicos y análisis independientes, la vulnerabilidad afecta principalmente a:

• React 19 cuando utiliza React Server Components a través del protocolo “Flight”.React+1

• Paquetes RSC específicos:

  • react-server-dom-parcel

  • react-server-dom-turbopack

  • react-server-dom-webpack
    en versiones 19.0, 19.1.0, 19.1.1 y 19.2.0.Tenable®+1

• Frameworks que implementan React Server Components, como:

  • Next.js (CVE-2025-66478 y su App Router)

  • React Router

  • Expo, Redwood, Waku y otros que se apoyan en el mismo protocolo.wiz.io+2Aikido+2

Un dato especialmente preocupante es que análisis de entornos cloud indican que un porcentaje muy alto de despliegues (en torno al 39 % de algunos entornos analizados) podría estar expuesto, y varios equipos de seguridad coinciden en que la explotación masiva es solo cuestión de tiempo.The Register+2Yasna+2

3. Por qué esta vulnerabilidad es tan grave

Hay tres factores que elevan el riesgo:

1. No requiere autenticación
   El atacante no necesita estar logueado. Basta con poder enviar peticiones HTTP a endpoints de Server Functions mal protegidos.NHS England Digital+1

2. Permite ejecución remota de código (RCE)
   Debido a una deserialización insegura en el manejo de payloads de RSC, es posible ejecutar código arbitrario en el servidor, comprometiendo por completo la aplicación y potencialmente toda la infraestructura asociada.Snyk+1

3. Configuraciones por defecto vulnerables
   Investigaciones de seguridad han demostrado que incluso aplicaciones generadas con configuraciones por defecto de React 19 y Next.js que usan Server Components pueden ser explotadas sin que el desarrollador haya hecho nada “extraño” en su código.wiz.io+2Vercel+2

En resumen: no hace falta una configuración exótica ni integraciones raras; muchos proyectos modernos que han adoptado React Server Components podrían estar en riesgo solo por usar las versiones afectadas.

4. Cómo saber si tu proyecto está en riesgo

Algunos indicadores de que deberías revisar tu stack con urgencia:

• Estás usando React 19 con soporte de Server Components.React+1

• Tu proyecto está basado en Next.js con App Router y renderizado en el servidor utilizando React Server Components (especialmente si fue creado recientemente con create-next-app y no has tocado mucho la configuración por defecto).wiz.io+1

• Dependencias como react-server-dom-webpack, react-server-dom-turbopack o similares aparecen en tu package-lock.json o pnpm-lock.yaml con versiones comprendidas entre la 19.0 y la 19.2.0.Tenable®+1

En entornos empresariales, lo recomendable es utilizar herramientas de análisis de dependencias (SCA) o escáneres de vulnerabilidades que ya están detectando CVE-2025-55182 y su CVE asociado en Next.js.Snyk+1

5. Pasos de mitigación: qué hacer ahora

5.1. Actualizar React y los paquetes RSC

El equipo de React ha publicado versiones parcheadas de los paquetes implicados. Las recomendaciones incluyen actualizar a versiones corregidas de los módulos RSC, como:eSentire+1

• react-server-dom-webpack 19.0.1, 19.1.2 o 19.2.1

• Versiones equivalentes parcheadas de react-server-dom-parcel y react-server-dom-turbopack

En muchos casos, la forma práctica de mitigarlo será actualizar React y los paquetes asociados a sus últimas versiones estables, siguiendo las notas oficiales:

npm install react@latest react-dom@latest
# o
pnpm update react react-dom

Asegúrate de revisar también el changelog y la guía de actualización propia de tu framework para no romper el proyecto.

5.2. Actualizar Next.js y frameworks que integran React 19

Vercel ha publicado su propio aviso para Next.js (CVE-2025-66478) con versiones específicas recomendadas para eliminar la vulnerabilidad en App Router y RSC.Next.js+1

En general, lo recomendable es:

npm install next@latest
# o
pnpm update next

Y posteriormente desplegar una nueva build del proyecto asegurándote de que los servidores usan la versión actualizada.

5.3. Aplicar protección adicional con WAF

Mientras actualizas y despliegas parches, un Web Application Firewall (WAF) puede reducir la superficie de ataque:

• Cloudflare ha desplegado reglas específicas para bloquear intentos de explotar esta vulnerabilidad en tráfico que pasa por su WAF.The Cloudflare Blog

• Otros proveedores como Fastly también han anunciado “virtual patches” para CVE-2025-55182 y CVE-2025-66478 que pueden activarse en sus WAF para detectar y frenar patrones de explotación conocidos.Fastly+1

Esto no sustituye la actualización de dependencias, pero ayuda a ganar tiempo mientras se coordina el parcheo en todos los entornos.

5.4. Revisar logs y endurecer la superficie de ataque

Además de actualizar:

• Revisa logs de acceso en tus servicios que expongan React Server Components o endpoints de Server Functions.

• Limita la exposición de endpoints internos únicamente a quien realmente deba acceder.

• Refuerza políticas de segmentación de red, autenticación en proxies internos y mínimo privilegio en los servidores que ejecutan estos servicios.eSentire+1

6. Lecciones para equipos de desarrollo y DevOps

Este incidente deja varias conclusiones importantes:

1. Las características “nuevas” del framework son también superficie de ataque
   React Server Components y el protocolo Flight son relativamente recientes. Adoptarlos sin incorporar controles y monitoreo adecuados aumenta el riesgo.

2. Las configuraciones por defecto no siempre son seguras
   La existencia de exploits sobre configuraciones estándar demuestra que no es suficiente “confiar en el scaffold” del framework. Es clave revisar guías de hardening y seguridad.

3. La gestión de dependencias es tan crítica como el propio código
   Mantener React, Next.js y cualquier framework al día, con un proceso formal de parcheo y pruebas de regresión, ya no es opcional.

4. Seguridad y desarrollo deben ir de la mano
   Equipos de desarrollo, DevOps y seguridad tienen que coordinar alertas, escaneos de dependencias, despliegues de parches y reglas WAF como parte del ciclo de vida del software.

7. Conclusión

La vulnerabilidad CVE-2025-55182 en React Server Components, junto con su CVE asociado en Next.js, es uno de los incidentes de seguridad más serios que ha enfrentado el ecosistema React en los últimos años.

La combinación de ejecución remota de código, ausencia de autenticación y configuraciones por defecto vulnerables justifica la calificación de severidad máxima y la urgencia de aplicar parches.

Si tu organización utiliza React 19, Next.js App Router o cualquier framework que integre React Server Components, el siguiente paso es claro: identificar los proyectos afectados, actualizar dependencias, desplegar las versiones corregidas y reforzar la protección con WAF y monitoreo.

Cuanto antes cierres esta brecha, menor será la ventana de oportunidad para posibles atacantes.