Vulnerabilidades de React Server Components: Alerta y respuestas inmediatas

Si usas React Server Components, las vulnerabilidades de React Server Components recién descubiertas podrían degradar la disponibilidad y exponer información sensible. Sin embargo, por ahora, se han identificado dos fallos de denegación de servicio de alto impacto (CVE-2025-55184 y CVE-2025-67779) y una falla de exposición de código fuente (CVE-2025-55183) en versiones afectadas.

Estas vulnerabilidades, reveladas tras pruebas de parche para la falla crítica anterior, ponen en riesgo entornos que soportan Server Functions; además, podrían facilitar ataques remotos.

Impacto inmediato de las vulnerabilidades de React Server Components

Los investigadores describen vulnerabilidades de React Server Components que permiten congelar procesos y, en casos extremos, podrían llevar a una denegación de servicio sostenida. Las fallas, conocidas como CVE-2025-55184 y CVE-2025-67779 (CVSS 7.5), además de CVE-2025-55183 (CVSS 5.3) han sido asociadas a la exposición de código fuente en ciertas implementaciones.

Detalles técnicos y alcance

• CVE-2025-55184 y CVE-2025-67779: DoS remotas aprovechando endpoints de función del servidor.
• CVE-2025-55183: exposición de secretos en el código fuente cuando se exponen argumentos en rutas específicas.
• El fenómeno fue detectado en versiones compatibles con react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack (19.x y posteriores).

Respuesta de la industria y acciones de parche

El parche previo para la vulnerabilidad crítica anterior no cubre completamente estas nuevas vulnerabilidades; los investigadores recomiendan actualizar a versiones corregidas y monitorizar parches de React, como explica el blog oficial de React en su anuncio sobre denial of service and source code exposure in React Server Components.

“Si ya actualizaste a 19.0.2, 19.1.3 y 19.2.2, estas correcciones son incompletas” señala el equipo de desarrollo, subrayando que la respuesta debe ser más amplia. Investigadores como RyotaK y Shinsaku Nomura reportaron incidentes a Meta, que mantiene abierto el tratamiento de estas vulnerabilidades en la comunidad de código abierto.

La industria sigue de cerca la actividad de intrusión asociada a React2Shell, que ha generado múltiples clusters de ataque. Se espera que los próximos parches y revisiones de seguridad definan una nueva fase de mitigación para estas vulnerabilidades de React Server Components.

Además, las compañías fortalecen la monitorización de endpoints para evitar impactos y exponen menos superficies de ataque. Por lo tanto, la atención debe centrarse en la mitigación temprana y el monitoreo continuo, ya que estas vulnerabilidades de React Server Components podrían evolucionar rápidamente.

Con estos contextos, la comunidad tecnológica mira a la industria para obtener respuestas rápidas y precisas, mientras se realizan pruebas de corrección y endurecimiento de configuración. En paralelo, el blog de React es la referencia para entender el alcance y las recomendaciones.