La vulnerabilidad React2Shell (CVE-2025-55182) ha pasado en cuestión de horas de ser un riesgo teórico a una amenaza explotada activamente en Internet. Investigaciones recientes estiman que más de 77 000 servidores podrían estar expuestos, con ataques confirmados contra al menos 30 organizaciones de distintos sectores y presencia global.
Qué es React2Shell y por qué CVE-2025-55182 es tan crítica
React2Shell describe una vulnerabilidad de ejecución remota de código (Remote Code Execution, RCE) en el mecanismo de React Server Components. El fallo ha recibido la puntuación máxima de criticidad, CVSS 10.0, lo que implica impacto potencial severo sobre la confidencialidad, integridad y disponibilidad de los sistemas afectados.
El origen del problema está en una deserialización insegura de datos en el lado servidor. Un atacante puede enviar una única petición HTTP especialmente construida, sin autenticación previa ni privilegios elevados, y obtener la capacidad de ejecutar código arbitrario en el servidor vulnerable.
La vulnerabilidad afecta a versiones recientes de React, concretamente 19.0, 19.1.0, 19.1.1 y 19.2.0, en configuraciones por defecto, así como a aplicaciones basadas en Next.js que utilizan React Server Components. Los parches ya están disponibles en React 19.0.1, 19.1.2 y 19.2.1 y en versiones actualizadas de Next.js, por lo que el riesgo actual se concentra en instalaciones que aún no han sido actualizadas.
Diversos especialistas alertan de que el mismo patrón de error podría existir en otras implementaciones de React Server, incluyendo proyectos como Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK y Waku. Esto amplía el potencial impacto de React2Shell a una parte significativa del ecosistema JavaScript moderno.
Alcance global de la vulnerabilidad React2Shell
Datos del Shadowserver Foundation indican la presencia de al menos 76 664 direcciones IP únicas vulnerables a React2Shell a escala global, de las cuales unas 3 000 se localizan en Rusia. Para identificarlas se empleó una técnica basada en el envío de peticiones HTTP de prueba y el análisis estructural de la respuesta del servidor.
En paralelo, compañías como Rapid7 y Elastic Security han confirmado la disponibilidad pública de exploit proof-of-concept (PoC) plenamente funcionales. La plataforma de inteligencia de amenazas GreyNoise ha observado ya actividad de explotación originada desde 181 direcciones IP diferentes, principalmente procedentes de Países Bajos, China, Estados Unidos, Hong Kong y otros países, con un claro patrón de automatización masiva.
Tácticas de explotación observadas en servidores React y Next.js
Los análisis forenses muestran una secuencia de ataque recurrente. En la fase inicial, los atacantes ejecutan comandos sencillos de PowerShell para validar si el servidor es vulnerable a la ejecución de código. Un ejemplo habitual es powershell -c "40138*41979", operación aritmética que genera un resultado predecible y deja un rastro mínimo en los registros.
Tras confirmar la vulnerabilidad, los actores de amenaza pasan a lanzar comandos PowerShell codificados en base64 y a descargar scripts adicionales directamente en memoria, evitando su escritura en disco para dificultar la detección. En incidentes analizados, algunas cargas se descargaban desde la dirección IP 23[.]235[.]188[.]3, donde un script se encargaba de deshabilitar AMSI (Antimalware Scan Interface) y así eludir las defensas nativas de Windows.
Información de VirusTotal indica que parte de estos scripts instalan un beacon de Cobalt Strike en los sistemas comprometidos. Aunque Cobalt Strike es una herramienta legítima para pruebas de intrusión, su uso por parte de atacantes facilita la persistencia a largo plazo, el control remoto de equipos y el movimiento lateral por la red corporativa.
Participación de grupos APT y foco en AWS y la nube
El equipo de ciberseguridad de Amazon AWS ha reportado intentos de explotación de React2Shell tan solo horas después de la divulgación pública de la vulnerabilidad. Parte de esta actividad se ha correlacionado con infraestructura previamente asociada a grupos APT chinos, como Earth Lamia y Jackpot Panda.
Según Palo Alto Networks, más de 30 organizaciones habrían sufrido ya intrusiones en producción. En los sistemas comprometidos se observan comandos como whoami, id, lectura de /etc/passwd y pruebas de escritura de ficheros, junto con una clara búsqueda de configuraciones y credenciales de AWS para escalar el compromiso a la infraestructura en la nube.
Algunos ataques se atribuyen a la agrupación con motivación gubernamental UNC5174 (también identificada como CL-STA-1015). En las redes afectadas se han detectado herramientas como Snowlight, utilizada como dropper de cargas adicionales, y Vshell, un backdoor diseñado para acceso remoto, post-explotación y desplazamiento lateral, en línea con tácticas previamente documentadas para este actor.
Respuesta de reguladores y efectos colaterales en grandes proveedores
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha incorporado CVE-2025-55182 a su catálogo de Known Exploited Vulnerabilities (KEV). Las agencias federales estadounidenses deben aplicar los parches correspondientes antes del 26 de diciembre de 2025, un indicador claro de la gravedad y explotación activa del fallo.
El impacto del incidente ha sido tal que incluso grandes proveedores de infraestructura se han visto tensionados. Un fallo reciente en la configuración de reglas de su web application firewall (WAF) durante un despliegue de emergencia frente a React2Shell provocó un incidente en Cloudflare, afectando temporalmente en torno al 28 % del tráfico HTTP mundial que atraviesa su red. Aunque no se trató de un ciberataque, el episodio evidencia la sensibilidad del ecosistema ante vulnerabilidades críticas en componentes ampliamente utilizados como React.
La situación creada por React2Shell (CVE-2025-55182) confirma que las vulnerabilidades de ejecución remota de código en marcos web populares pueden convertirse en campañas de explotación masiva en cuestión de horas. Las organizaciones que utilicen React Server Components, Next.js u otras implementaciones relacionadas deben aplicar de inmediato los parches disponibles, inventariar y reducir la exposición de servicios públicos, reforzar la monitorización de actividad PowerShell y del tráfico anómalo, e inspeccionar sus sistemas en busca de indicios de Cobalt Strike, Vshell y otras herramientas de post-explotación. Una gestión proactiva de vulnerabilidades, acompañada de revisiones periódicas de código y arquitecturas, sigue siendo esencial para reducir el riesgo en entornos de desarrollo web modernos.
