Una nueva vulnerabilidad crítica en el ecosistema React, identificada como CVE-2025-55182 y apodada React2Shell, ha sido evaluada con la máxima puntuación de 10/10 en la escala CVSS. El fallo permite la ejecución remota de código (RCE) sin autenticación en servidores que utilizan React Server Components (RSC), lo que convierte a esta debilidad en un riesgo de carácter sistémico para miles de aplicaciones web modernas.
¿Qué es React2Shell (CVE-2025-55182) y por qué es tan peligrosa?
React es una biblioteca de código abierto ampliamente utilizada para construir interfaces de usuario. Grandes plataformas como Airbnb o Netflix dependen de este ecosistema, y el paquete base react registra aproximadamente 55,8 millones de descargas semanales en npm. Sobre esta base se construyen frameworks como Next.js, con alrededor de 16,7 millones de descargas a la semana, lo que amplifica el alcance de cualquier vulnerabilidad crítica.
React2Shell afecta a la forma en que React procesa datos enviados a través de endpoints de React Server Function en el contexto de React Server Components. Un atacante solo necesita enviar una petición HTTP especialmente manipulada a un endpoint accesible desde Internet. Debido a un fallo en el proceso de deserialización, el payload RSC se trata de forma incorrecta y puede llegar a ejecutarse como código JavaScript arbitrario en el servidor, sin requerir credenciales ni privilegios elevados.
Detalles técnicos: deserialización lógica insegura en React Server
La vulnerabilidad CVE-2025-55182 se clasifica como un caso de deserialización lógica insegura. La parte servidor de React no valida adecuadamente la estructura del flujo RSC recibido. Si el atacante altera el formato del mensaje, las comprobaciones internas fallan y la plataforma interpreta datos no confiables como si fueran objetos válidos o código legítimo. Este patrón encaja con las categorías de fallos de deserialización insegura descritas en estándares como OWASP, pero con un matiz importante: el problema no es solo de implementación, sino del propio diseño lógico de la validación.
Un aspecto especialmente crítico es que la explotación es posible con configuraciones por defecto de los frameworks. No se requieren opciones experimentales ni despliegues poco habituales, lo que incrementa la probabilidad de encontrar aplicaciones vulnerables en entornos de producción.
Versiones y paquetes React afectados por CVE-2025-55182
Según los desarrolladores de React, la vulnerabilidad React2Shell impacta en los siguientes paquetes de npm relacionados con React Server Components:
Paquetes y versiones vulnerables:
react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0.
Versiones corregidas (parches disponibles):
Los mantenedores han publicado actualizaciones de seguridad en 19.0.1, 19.1.2 y 19.2.1. La actualización inmediata a estas versiones es un requisito mínimo para cualquier organización que utilice React Server Components en producción.
Impacto en Next.js y otros frameworks basados en React Server
El framework Next.js, uno de los más extendidos para desarrollo full-stack con React, también se ve afectado. Vercel intentó registrar un identificador separado (CVE-2025-66478), pero el NIST lo ha clasificado como duplicado de CVE-2025-55182, confirmando que se trata del mismo vector de ataque.
Versiones de Next.js vulnerables:
— Lanzamientos canary a partir de 14.3.0-canary.77;
— Todas las ramas 15.x y 16.x hasta la publicación de las versiones corregidas.
Versiones de Next.js con parches de seguridad:
16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.
Investigaciones adicionales apuntan a que otras implementaciones de React Server podrían presentar riesgos similares, incluidas Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK y Waku. Los desarrolladores de React advierten que una aplicación puede seguir siendo vulnerable aunque no exponga explícitamente endpoints de React Server Function, siempre que tenga habilitado el soporte RSC.
Superficie de ataque global y aparición de exploits para React2Shell
De acuerdo con estimaciones de Wiz, aproximadamente el 39 % de todos los entornos cloud contienen instancias potencialmente afectadas por CVE-2025-55182 o por su CVE duplicado. Se han identificado más de 968 000 servidores que utilizan React, Next.js u otros stacks relacionados, lo que otorga a React2Shell un alcance masivo en términos de superficie de ataque expuesta en Internet.
Menos de 24 horas después de la divulgación pública de la vulnerabilidad apareció al menos un exploit de prueba de concepto (PoC), y la firma fue rápidamente incorporada a múltiples escáneres de seguridad. Paralelamente, se han observado PoC falsos que abusan de funciones como vm#runInThisContext, child_process#exec o fs#writeFile, pero que no reflejan el vector real de ataque y ni siquiera funcionan contra Next.js debido a la ausencia de estas APIs en el entorno objetivo.
Medidas de mitigación y recomendaciones de ciberseguridad
Los principales proveedores cloud han reaccionado con rapidez. Cloudflare ha desplegado firmas específicas en su WAF para filtrar tráfico malicioso dirigido a aplicaciones React, mientras que AWS, Akamai, Fastly y Google Cloud han anunciado medidas similares. F5 está analizando el posible impacto en su catálogo de productos.
Hasta que todos los parches estén aplicados, se recomiendan varias acciones compensatorias: desplegar reglas WAF para bloquear patrones sospechosos en peticiones RSC, monitorizar el tráfico HTTP hacia los endpoints de Server Functions en busca de anomalías, limitar temporalmente el acceso de red a servicios vulnerables y realizar un inventario y auditoría del stack tecnológico (incluyendo herramientas de External Attack Surface Management) para localizar aplicaciones que utilicen RSC y versiones afectadas.
Expertos señalan que React2Shell impacta principalmente en la línea React 19 y en aplicaciones que ya han adoptado la funcionalidad de React Server, lo que reduce el universo de víctimas en comparación con una vulnerabilidad que afectara a todas las versiones de React. Aun así, compañías como BI.ZONE estiman que solo en Rusia podrían estar en riesgo entre 10 000 y 25 000 sitios web, desde pequeñas empresas hasta proveedores de servicios, lo que ilustra la urgencia de actuar.
La irrupción de CVE-2025-55182 demuestra la fragilidad de las aplicaciones web que dependen de runtimes complejos y de la deserialización automática de datos. Las organizaciones que utilicen React, Next.js o cualquier solución compatible con React Server Components deben actualizar de inmediato los paquetes vulnerables, reforzar la supervisión del tráfico RSC, afinar las políticas WAF y revisar sus prácticas de desarrollo seguro. Cuanto antes se cierren estas brechas, menor será la probabilidad de que la próxima ola de ataques automatizados explote React2Shell a través de sus aplicaciones críticas.
