El equipo de React ha publicado correcciones para dos nuevos tipos de fallas en los componentes del servidor React (RSC) que, si se explotan con éxito, podrían provocar denegación de servicio (DoS) o exposición del código fuente.
El equipo dijo que los problemas fueron encontrados por la comunidad de seguridad al intentar explotar los parches lanzados para CVE-2025-55182 (puntuación CVSS: 10.0), un error crítico en RSC que desde entonces se ha convertido en un armamento en la naturaleza.
Las tres vulnerabilidades se enumeran a continuación:
- CVE-2025-55184 (Puntuación CVSS: 7,5): una vulnerabilidad de denegación de servicio previa a la autenticación que surge de la deserialización insegura de cargas efectos de solicitudes HTTP a puntos finales de función de servidor, lo que desencadena un onda infinito que bloquea el proceso del servidor y puede impedir que se atiendan futuras solicitudes HTTP.
- CVE-2025-67779 (Puntuación CVSS: 7,5): una decisión incompleta para CVE-2025-55184 que tiene el mismo impacto
- CVE-2025-55183 (Puntuación CVSS: 5.3): una vulnerabilidad de fuga de información que puede provocar que una solicitud HTTP específicamente diseñada enviada a una función de servidor pasivo devuelva el código fuente de cualquier función de servidor.
Sin confiscación, la explotación exitosa de CVE-2025-55183 requiere la existencia de una función de servidor que exponga explícita o implícitamente un argumento que se haya convertido a un formato de esclavitud.
Las fallas que afectan las siguientes versiones de reaccionar-server-dom-parcel, reaccionar-server-dom-turbopack y reaccionar-server-dom-webpack –
- CVE-2025-55184 y CVE-2025-55183 – 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 y 19.2.1
- CVE-2025-67779 – 19.0.2, 19.1.3 y 19.2.2
A los investigadores de seguridad RyotaK y Shinsaku Nomura se les atribuye acontecer informado de los dos errores DoS al software Meta Bug Bounty, mientras que a Andrew MacPherson se le ha agradecido por informar la descompostura de filtración de información.
Se recomienda a los usuarios que actualicen a versiones 19.0.3, 19.1.4 y 19.2.3 lo antiguamente posible, particularmente a la luz de la exploración activa de CVE-2025-55182.
“Cuando se revela una vulnerabilidad crítica, los investigadores examinan las rutas de código adyacentes en examen de técnicas de explotación variantes para probar si se puede evitar la mitigación auténtico”, dijo el equipo de React. “Este patrón aparece en toda la industria, no sólo en JavaScript. Las revelaciones adicionales pueden ser frustrantes, pero generalmente son una señal de un ciclo de respuesta saludable”.
