Puntos clave
- CVE-2025-55184 es una vulnerabilidad de denegación de servicio (DoS) en React Server Components (RSC), no un fallo de ejecución remota de código.
- El problema está estrechamente relacionado con React2Shell (CVE-2025-55182) y se origina en la misma capa de deserialización del protocolo React Flight.
- Aikido ya detecta CVE-2025-55184 y proporciona una checklist en la aplicación para ayudar a los equipos a verificar si están realmente expuestos y completamente remediados.
- Una solicitud especialmente diseñada puede desencadenar un bucle infinito o un estado de bloqueo, dejando los servidores afectados sin respuesta.
- Un parche inicial incompleto condujo a una vulnerabilidad posterior, CVE-2025-67779, lo que significa que algunos equipos deben actualizar de nuevo.
- La mayoría de las aplicaciones afectadas utilizan Next.js App Router u otros frameworks habilitados para RSC.
TL;DR: ¿Todavía estás en riesgo?
Si solo actualizaste para abordar CVE-2025-55182 (React2Shell), aún podrías ser vulnerable.
CVE-2025-55184 afecta a rutas de código RSC adyacentes y puede permitir a los atacantes dejar tu aplicación fuera de línea, incluso sin obtener ejecución de código. Debes asegurarte de estar ejecutando las últimas versiones parcheadas de React y Next.js, incluyendo las correcciones para la vulnerabilidad posterior CVE-2025-67779.
Pasos de remediación
1. Actualiza los paquetes de React y RSC
Asegúrate de estar ejecutando las últimas versiones parcheadas de React que abordan completamente los problemas de RCE y DoS en la lógica de deserialización del protocolo Flight.
2. Actualiza los frameworks de Next.js y RSC
- Los usuarios de Next.js deben actualizar a la última versión parcheada de su línea de versión principal.
- Las aplicaciones que utilizan App Router o Server Functions son las más expuestas.
- Evita depender solo de los primeros parches posteriores a React2Shell, ya que algunos estaban incompletos.
3. Vuelve a escanear en busca de CVEs posteriores
Dado que la corrección inicial de CVE-2025-55184 estaba incompleta, debes confirmar que:
- CVE-2025-67779 también ha sido remediada
- No quedan dependencias RSC transitivas vulnerables
4. Valida con Aikido
Ejecuta un nuevo escaneo para verificar:
- Los paquetes RSC vulnerables han sido completamente eliminados
- Las rutas de serialización afectadas ya no son accesibles
- Tu actualización realmente elimina la exposición en tiempo de ejecución, no solo el indicador de dependencia
Contexto
El 3 de diciembre, el ecosistema de React fue sacudido por una vulnerabilidad crítica de ejecución remota de código en los Componentes de Servidor de React, CVE-2025-55182, ampliamente conocida como React2Shell. En nuestro blog anterior, exploramos cómo la deserialización insegura en el protocolo “Flight” de RSC permitía a atacantes no autenticados enviar solicitudes HTTP manipuladas que podían llevar a la toma completa del servidor en aplicaciones predeterminadas de React/Next.js.
Desde entonces, mientras la industria se apresuraba a parchear y protegerse contra la 55182, se descubrieron debilidades adicionales en rutas de código adyacentes, lo que llevó a nuevas advertencias de seguridad y CVEs. Una de estas es CVE-2025-55184, que, aunque no es una falla de ejecución remota de código como React2Shell, todavía representa un riesgo grave para la disponibilidad.
Análisis en profundidad
¿Qué es CVE-2025-55184?
CVE-2025-55184 es una vulnerabilidad de denegación de servicio causada por un manejo inseguro de entradas especialmente diseñadas en el tiempo de ejecución de React Server Components.
Un atacante puede enviar una solicitud RSC malformada que:
- Provoca un bucle infinito, o
- Fuerza al servidor a un estado de bloqueo
Una vez activado, el servidor puede dejar de responder al tráfico legítimo hasta que se reinicie.
Cómo se relaciona con React2Shell
Estas vulnerabilidades no son errores independientes:
- Ambas se originan en el protocolo React Flight, que permite que los datos estructurados del cliente influyan en la renderización y ejecución del lado del servidor.
- CVE-2025-55184 fue descubierta durante auditorías posteriores a React2Shell, mientras los investigadores exploraban la lógica de deserialización adyacente.
- Surgieron problemas relacionados adicionales, incluyendo:
- CVE-2025-55183 (exposición de código fuente)
- CVE-2025-67779 (solución incompleta para 55184)
- CVE-2025-55183 (exposición de código fuente)
Este patrón destaca una superficie de riesgo sistémico en el diseño de serialización de RSC.
Por qué los ataques de disponibilidad siguen siendo importantes
A diferencia de React2Shell:
- Los atacantes no obtienen acceso a la shell
- No se produce ejecución de código arbitrario
Pero:
- Los servidores pueden ser desconectados de forma remota
- Los ataques no están autenticados
- La explotación repetida puede causar interrupciones, degradación del rendimiento o reinicios forzados
Para muchos equipos, el tiempo de inactividad es tan perjudicial como un compromiso.
¿Quiénes se ven afectados?
Puede verse afectado si su aplicación:
- Utiliza React Server Components
- Ejecuta Next.js App Router
- Expone funciones de servidor o endpoints RSC
- No se ha actualizado completamente después de los avisos de seguridad de React/Next.js de diciembre
Aunque no utilices explícitamente lógica de servidor, los valores predeterminados del framework aún pueden exponer las rutas de código vulnerables.
Severidad
- Puntuación CVE: Alta (impacto en la disponibilidad)
- Impacto: Denegación de servicio
- Vector de ataque: Remoto, no autenticado
- Explotabilidad: Baja complejidad
Cronología
- Finales de noviembre: React2Shell (CVE-2025-55182) revelado
- Principios de diciembre: Descubiertas debilidades RSC adicionales
- 3-5 de diciembre: CVE-2025-55184 revelado y parcheado
- Días siguientes: Solución incompleta identificada → CVE-2025-67779 emitido
Escanea tu base de código ahora
Aikido rastrea CVE-2025-55184, CVE-2025-67779 y la familia más amplia de vulnerabilidades relacionadas con RSC.
Conecta tus repositorios para:
- Identificar versiones vulnerables de React y Next.js
- Determinar si las rutas RSC de riesgo son realmente alcanzables
- Validar que tus actualizaciones eliminan completamente la exposición
Empieza a escanear gratis con Aikido.
Protege tu software ahora.
