Ejecución remota de código en React Server Components
La vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de:
- paquete web react-server-dom (react-server-dom-webpack);
- paquete dom del servidor react (react-server-dom-parcel);
- react-server-dom-turbopack.
Importante: Incluso si la aplicación no implementa ningún endpoint de React Server Function, puede seguir siendo vulnerable si es compatible con React Server Components.
Los siguientes frameworks y empaquetadores de React:
- Next.js:
- Versiones anteriores a: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7;
- Versiones experimentales canary a partir de la 14.3.0-canary.77.
- react-router.
- waku.
- @parcel/rsc.
- @vitejs/plugin-rsc.
- rwsdk.
Si el código React de la aplicación no usa un servidor de React, o un framework, un bundler o un plugin de bundler compatible con los componentes de servidor de React, esta vulnerabilidad no afecta a la aplicación.
Lachlan Davidson ha informado sobre 1 vulnerabilidad de severidad crítica que permite la ejecución remota de código sin una autenticación previa.
Diversas fuentes han afirmado que esta vulnerabilidad podría estar siendo explotada.
Se recomienda actualizar inmediatamente a las versiones que incluyen los parches para subsanar esta vulnerabilidad. Estas versiones son 19.0.1, 19.1.2 y 19.2.1.
En caso de que se disponga de una aplicación que utilice el framework @vitejs/plugin-rsc se recomienda actualizar a @vitejs/plugin-rsc@0.5.3 o posteriores.
Para Next.js para las versiones 15.x y 16.x, actualizar a una versión estable y parcheada lo antes posible. Estas son las versiones: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 y 16.0.7. Para aquellos usuarios que utilicen 14.3.0-canary.77 o posterior, bajar a la versión estable 14.x o a la 14.3.0-canary.76.
CVE-2025-55182: vulnerabilidad de ejecución remota de código previa a la autenticación en algunas versiones de React Server Components que incluye los recursos afectados mencionados anteriormente. El código vulnerable deserializa de forma insegura las cargas útiles de las solicitudes HTTP a los puntos finales de la función del servidor. Un atacante, no autenticado, podría elaborar una solicitud HTTP perjudicial hacia cualquier punto final de Función de Servidor, que, al ser deserializada por React, posibilitaría que se ejecute código en el servidor desde un lugar remoto.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.