Alerta máxima en ciberseguridad: una vulnerabilidad de ejecución remota de código (RCE) con puntuación CVSS 10.0 impacta a React Server Components y a frameworks basados en React, incluido Next.js. Investigadores advierten que el fallo es fácil de abusar y que la explotación masiva podría ser inminente. Se estima que hasta el 39% de los entornos de cloud computing podrían estar expuestos si no se actualiza de inmediato.
Qué ha pasado
El equipo de React ha revelado la vulnerabilidad CVE-2025-55182, que permite a atacantes remotos no autenticados ejecutar código malicioso en aplicaciones que emplean React Server Components. Dada la amplia adopción de React en el desarrollo de software y aplicaciones web, el riesgo operativo y reputacional es elevado.
Paquetes y versiones afectadas
El bug afecta las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes del ecosistema JavaScript/NPM:
Frameworks y herramientas potencialmente expuestas
La configuración por defecto de varios frameworks y empaquetadores basados en React puede quedar expuesta si usan las versiones vulnerables:
- Next.js (next)
- react-router
- waku
- @parcel/rsc
- @vitejs/plugin-rsc
- rwsdk
Parches disponibles y qué hacer
Los mantenedores recomiendan actualizar sin demora a las versiones corregidas: 19.0.1, 19.1.2 y 19.2.1. La actualización corta el vector de RCE y reduce el riesgo de intrusión en producción, CI/CD y otros entornos cloud.
- Actualiza dependencias a 19.0.1, 19.1.2 o 19.2.1 y despliega de nuevo.
- Comprueba los avisos de tu framework (por ejemplo, Next.js) y aplica los parches asociados.
- Verifica reglas de protección en tu WAF y endurece configuraciones si procede.
- Monitorea eventos anómalos y sigue los avisos de los proveedores.
Impacto en cloud y riesgo de explotación
Según estimaciones compartidas por investigadores, alrededor del 39% de los entornos en la nube podrían estar expuestos, por lo que las organizaciones con aplicaciones en producción deben priorizar el parcheo. Aunque no hay informes públicos de abuso en la vida real a la fecha, es razonable asumir que actores maliciosos ya analizan los cambios de código para producir exploits funcionales.
Reacciones de proveedores
Vercel, responsable de Next.js, publicó una alerta y parches específicos, advirtiendo que la explotación práctica puede ocurrir una vez se difundan las correcciones. Cloudflare señaló que su WAF puede mitigar el vector para el tráfico que pasa por su red, aunque recomienda verificar las configuraciones de protección activas.
Qué esperar
Dada la enorme adopción de React y de su ecosistema, la exposición a CVE-2025-55182 —y al relacionado CVE-2025-66478— podría traducirse en un aumento de incidentes si no se aplican los parches. Fuentes oficiales y expertos citados por The Register recomiendan actualizar de inmediato y mantenerse atentos a extensiones y nuevas mitigaciones.
