FALLA CRÍTICA EN REACT Y NEXT.JS

Se han descubierto vulnerabilidades críticas (CVSS 10) que afectan a React y Next.js, y permiten RCE (ejecución remota de código sin autenticación). Aplicaciones que utilizan React Server Components (RSC) pueden estar en riesgo incluso sin endpoints de Server Functions expuestos.

Explotación activa
AWS advirtió que la vulnerabilidad React2Shell (CVE-2025-55182) ya está siendo utilizada en ataques dirigidos por grupos con nexos en China. La explotación comenzó pocas horas después de la divulgación pública y se han detectado intentos contra aplicaciones en sectores críticos como finanzas, retail y gobierno. Además, existen pruebas de concepto disponibles en GitHub, lo que aumenta el riesgo de ataques masivos.

Impacto en la industria
La vulnerabilidad impacta a servicios que dependen de React y Next.js, incluidos e-commerce, redes sociales, apps bancarias y plataformas de streaming, que podrían quedar expuestas si no aplican los parches. Esto permitiría comprometer servidores críticos y afectar a millones de usuarios. Incluso aplicaciones que no usan React Server Functions pueden ser vulnerables si soportan React Server Components.

Funcionamiento
La falla, reportada por Lachlan Davidson, surge por una deserialización insegura: el servidor no valida correctamente la estructura de los datos que recibe. Esto permite que un atacante envíe una solicitud HTTP malformada y ejecute código JavaScript con privilegios en el servidor.
En concreto, el problema ocurre al decodificar payloads del protocolo Flight de RSC, lo que abre la puerta a RCE.

Versiones afectadas
Las vulnerabilidades afectan configuraciones por defecto de los paquetes react-server-dom- y del App Router de Next.js, exponiendo incluso aplicaciones que solo soportan RSC. Los paquetes react-server-dom-webpack, parcel y turbopack presentan fallos en versiones 19.0 a 19.2.0. En Next.js, están comprometidas las versiones desde la 14.3.0-canary.77 y todas las ramas 15.x y 16.x previas al parche. También podrían verse afectados proyectos que implementan RSC, como los plugins de Vite y Parcel, React Router RSC preview, RedwoodSDK y Waku.

Incidentes similares en el pasado
Este tipo de vulnerabilidad recuerda a fallos históricos como Log4Shell (2021), que afectó a millones de aplicaciones Java por una deserialización insegura, y a la vulnerabilidad en Apache Struts (2017) que permitió RCE masivo.

Cómo protegerse?

1. Actualizar inmediatamente: React ≥ 19.2.1 y Next.js ≥ 16.x parcheado
2. Incluir la actualización en su pipeline CI/CD.
3. Auditar dependencias con npm audit o herramientas como Snyk.
4. Implementar validación estricta en datos deserializados.
5. Monitorear logs para detectar solicitudes malformadas.
6. Considerar un WAF (Web Application Firewall) para mitigar ataques en tránsito.
7. Añadir pruebas de seguridad automatizadas en tu flujo de desarrollo.

Conclusión
React2Shell evidencia que incluso tecnologías ampliamente usadas pueden presentar riesgos críticos. La falla es especialmente grave por su adopción masiva y configuraciones por defecto vulnerables, lo que amplifica la exposición. La medida inmediata es actualizar a las versiones parcheadas, revisar dependencias y reforzar controles para minimizar la superficie de ataque.

Fuente: https://www.welivesecurity.com/es/seguridad-digital/react2shell-falla-cr...