Se ha revelado una equivocación de seguridad de máxima compromiso en React Server Components (RSC) que, si se explota con éxito, podría resultar en la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2025-55182, tiene una puntuación CVSS de 10,0.
Permite “la ejecución remota de código no autenticado al explotar una equivocación en cómo React decodifica las cargas enviadas a los puntos finales de la función React Server”, dijo el equipo de React en una alerta emitida hoy.
“Incluso si su aplicación no implementa ningún punto final de la función React Server, aún puede ser débil si su aplicación admite componentes de React Server”.
Según la firma de seguridad en la estrato Wiz, el problema es un caso de deserialización dialéctica que surge del procesamiento de cargas RSC de forma insegura. Como resultado, un atacante no autenticado podría crear una solicitud HTTP maliciosa a cualquier punto final de función de servidor que, cuando React la deserializa, logra la ejecución de código JavaScript gratuito en el servidor.
La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
- reaccionar-servidor-dom-webpack
- reaccionar-servidor-dom-parcel
- reaccionar-servidor-dom-turbopack
Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1. Al investigador de seguridad con sede en Nueva Zelanda, Lachlan Davidson, se le atribuye el descubrimiento y el noticia de la equivocación el 29 de noviembre de 2025.
Vale la pena señalar que la vulnerabilidad todavía afecta a Next.js que usa App Router. Al problema se le ha asignado el identificador CVE CVE-2025-66478 (puntuación CVSS: 10,0). Afecta a las versiones >=14.3.0-canary.77, >=15 y >=16. Las versiones parcheadas son 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.
Dicho esto, es probable que cualquier biblioteca que incluya RSC se vea afectada por la equivocación. Esto incluye, entre otros, el complemento Vite RSC, el complemento Parcel RSC, la olfato previa de React Router RSC, RedwoodJS y Waku.
Wiz dijo que el 39% de los entornos de estrato tienen instancias vulnerables a CVE-2025-55182 y/o CVE-2025-66478. A la luz de la compromiso de la vulnerabilidad, se recomienda que los usuarios apliquen las correcciones lo antaño posible para una protección óptima.
