Una vulnerabilidad de máxima severidad en el ecosistema de React y su popular framework Next.js ha encendido todas las alarmas en equipos de desarrollo y seguridad. El fallo permite ejecución remota de código (RCE) en aplicaciones web y servicios desplegados en entornos cloud, y ha recibido la puntuación máxima posible en CVSS. Aunque todavía no se han visto ataques activos, los expertos coinciden en que es cuestión de tiempo si no se parchea con rapidez.
Un agujero en un stack masivo
El problema afecta a marcos de trabajo basados en React ampliamente utilizados para construir interfaces web modernas y servicios backend. El equipo de React, junto con los responsables de Next.js, ha publicado avisos de seguridad urgentes y versiones corregidas, insistiendo en que las organizaciones actualicen cuanto antes.
Investigadores de una firma de seguridad que monitoriza grandes entornos en la nube estiman que un 39% de los entornos cloud contienen instancias de React o Next.js en versiones vulnerables a los identificadores CVE-2025-55182 (React) y CVE-2025-66478 (Next.js). Dentro de esa fotografía, calculan que Next.js está presente en el 69% de los entornos analizados y que, de ellos, el 61% expone aplicaciones públicas, lo que se traduce en que el 44% de todos los entornos cloud tendría instancias de Next.js accesibles desde Internet.
Un responsable de inteligencia de amenazas de una gran compañía de ciberseguridad llega a describir el fallo como un “exploit llave maestra”: no derriba el sistema, sino que se aprovecha de la confianza en determinadas estructuras de datos para ejecutar código malicioso con la misma fiabilidad que el legítimo. Su equipo ha identificado más de 968.000 servidores que ejecutan marcos modernos como React y Next.js, y concluye que casi el 40% de los entornos cloud queda expuesto.
React Server Components, en el centro del problema
La vulnerabilidad se origina en React Server Components (RSC), una capacidad introducida hace un par de años para permitir que ciertos componentes se ejecuten únicamente en el servidor. El aviso del equipo de React subraya un detalle incómodo: una aplicación puede ser vulnerable aunque no use endpoints de React Server Functions, siempre que soporte RSC. En cambio, quedan fuera de peligro los proyectos que no utilizan servidor para el código React o que no se apoyan en frameworks o bundlers compatibles con RSC.
El fallo afecta a cuatro versiones concretas de React en paquetes como react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack. Se han publicado parches de emergencia para las versiones 19.0.1, 19.1.2 y 19.2.1, tras ser reportado el problema por un investigador independiente apenas unos días antes.
Según el análisis de los investigadores que han estudiado en profundidad el fallo, la raíz del problema está en una deserialización insegura: el servidor procesa cargas de datos de RSC de forma que permite que información controlada por el atacante influya en la ejecución en servidor. Basta con una petición HTTP especialmente manipulada, sin autenticación previa, para desencadenar la ejecución remota de código. La vulnerabilidad se manifiesta, además, en la configuración por defecto de las aplicaciones afectadas, de modo que despliegues estándar ya quedan en el punto de mira.
No solo React y Next.js están en riesgo. Cualquier marco o librería que integre la implementación de react-server puede heredar el problema, entre ellos complementos de RSC para Vite y Parcel, versiones preliminares de React Router con soporte RSC, así como otros proyectos del ecosistema que han adoptado esta tecnología.
Un ecosistema masivo, un fallo único
La dimensión del problema no se explica solo por la gravedad técnica del bug, sino por la popularidad del propio React. Un análisis citado en la noticia recuerda que, en una encuesta reciente sobre el ecosistema JavaScript, el 82% de desarrolladores encuestados declaró utilizar React. Si se cruza ese dato con la presencia masiva de Next.js en entornos productivos, la conclusión es sencilla: hay un enorme volumen de aplicaciones que podrían estar ejecutándose con una pieza crítica vulnerable en el servidor.
Los expertos señalan además que la combinación de factores es especialmente peligrosa: ataque remoto, sin autenticación, contra despliegues por defecto, con una tasa de éxito cercana al 100% en sus pruebas de laboratorio. El resultado práctico es que un atacante con conocimiento del fallo puede pasar de un simple escaneo a un compromiso total del servidor en muy pocos pasos, sin necesitar condiciones especiales en la aplicación objetivo.
Carrera por el parche y defensas de perímetro
La reacción en cadena no se ha limitado al lanzamiento de parches. Grandes proveedores de nube y de servicios de seguridad perimetral se han movido rápido para ofrecer capas adicionales de protección mientras las organizaciones actualizan sus aplicaciones.
En el ámbito cloud, se ha desplegado una regla específica en un firewall de aplicaciones web para detectar y bloquear intentos de explotación relacionados con CVE-2025-55182 en servicios expuestos mediante balanceadores de carga. Paralelamente, un proveedor de servicios de mitigación en la red de distribución de contenidos ha anunciado que sus clientes cuentan ya con una regla de protección automática frente a los patrones de ataque conocidos asociados a este fallo.
A estas medidas se suma una herramienta desarrollada por un pentester independiente y publicada como proyecto abierto en un repositorio de código. Se trata de un script en Python orientado a localizar sistemas que utilizan React Server Components y podrían estar expuestos, pensado como ayuda para que los equipos de seguridad prioricen sus esfuerzos de inventario y parcheo.
Qué deberían hacer ahora los equipos técnicos
La hoja de ruta que se dibuja a partir de los avisos y análisis es clara. En primer lugar, inventariar con precisión qué aplicaciones usan React Server Components o frameworks que los integran, incluyendo Next.js y cualquier otra pieza que embeba react-server. Sin esa visibilidad, el riesgo es seguir asumiendo que solo un subconjunto de servicios está afectado cuando la superficie real es mayor.
En segundo lugar, actualizar de forma prioritaria a las versiones de React y Next.js que incorporan los parches, empezando por los servicios expuestos públicamente y aquellos que manejan datos sensibles o funciones críticas. Las medidas de defensa perimetral —reglas en WAF, protecciones automáticas de proveedores cloud o de red— deben verse como un parche temporal, nunca como sustituto del arreglo en el propio código y dependencias.
Por último, conviene que los equipos de desarrollo y seguridad aprovechen este incidente para revisar sus prácticas de gestión de dependencias, pruebas de seguridad en pipeline y capacidad de respuesta ante avisos de vulnerabilidades de alta criticidad. Cuando un fallo con CVSS 10 afecta a tecnologías tan ubicuas, la diferencia entre un susto y una brecha grave suele estar en la velocidad y disciplina con la que se aplican los parches.
En definitiva, este fallo en React y Next.js es un recordatorio de que la modernización de aplicaciones y la adopción masiva de nuevos patrones —como React Server Components— traen consigo una nueva superficie de ataque. Quien construye sobre ese stack no puede permitirse tratarlo como una caja negra: entender qué se ejecuta en el servidor, cómo se procesan los datos y qué dependencias se arrastran es ya una parte inseparable de desarrollar software seguro.
0 Comentarios