Puntos clave
- CVE-2025-55182 es una vulnerabilidad crítica de ejecución remota de código en los Componentes de Servidor de React.
- Next.js asigna un identificador relacionado, CVE-2025-66478, debido a su uso del mismo protocolo Flight subyacente.
- Las versiones vulnerables incluyen react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack en varias versiones de React 19.
- Frameworks como Next.js, React Router (modo RSC), el plugin Vite RSC, el plugin Parcel RSC, RedwoodSDK y Waku incluyen estos paquetes vulnerables.
- Aikido ahora rastrea 10/10 CVE-2025-55182 y el relacionado Next.js CVE-2025-66478. Conecte sus repositorios para escanearlo.
TLDR: Vea cómo le afecta
Aikido ahora rastrea CVE-2025-55182 y el relacionado Next.js CVE-2025-66478. Conecte sus repositorios para determinar si su aplicación o sus dependencias incluyen implementaciones vulnerables de Componentes de Servidor de React.
Pasos de remediación
1. Actualice React
Instale una versión parcheada de React, como la 19.0.1, 19.1.2 o 19.2.1. Estas incluyen un manejo de entrada reforzado.
2. Actualice los Frameworks que Incluyen RSC
Actualice su framework a su versión parcheada correspondiente.
Los usuarios de Next.js deberían actualizar a la última versión parcheada dentro de su línea de versión principal.
Cualquier persona en una versión canary a partir de la 14.3.0-canary.77 debería volver a la última versión estable 14.x.
3. Actualice los Bundlers y Plugins con RSC Habilitado
Asegúrese de actualizar:
- Plugin RSC de Vite
- Plugin RSC de Parcel
- Vista previa de React Router RSC
- RedwoodSDK
- Waku
Cada uno ha lanzado versiones que incluyen la implementación RSC corregida.
4. Valida con Aikido
Después de la actualización, ejecute un escaneo para confirmar que:
- Todas las versiones vulnerables han sido eliminadas
- Ninguna dependencia transitiva sigue afectada
- Las integraciones de frameworks y bundlers están completamente parcheadas
Contexto
CVE-2025-55182 es una vulnerabilidad crítica de ejecución remota de código no autenticada que afecta a los Componentes de Servidor de React. También afecta al ecosistema más amplio de frameworks que dependen del protocolo React Flight. Next.js ha asignado CVE-2025-66478 para rastrear su exposición, que se deriva del mismo problema subyacente.
La vulnerabilidad permite que solicitudes especialmente diseñadas activen un comportamiento de deserialización inseguro dentro de la implementación RSC del lado del servidor, lo que puede conducir a la ejecución remota de código bajo ciertas condiciones. Afecta a las versiones de React 19.0, 19.1.0, 19.1.1 y 19.2.0, así como a las integraciones descendentes que incrustan estos paquetes.
Análisis en profundidad
Naturaleza de la Vulnerabilidad
El problema se deriva del manejo inseguro de cargas útiles serializadas en el protocolo React Flight. Las cargas útiles malformadas o adversarias pueden influir en la ejecución del lado del servidor de formas no deseadas. Las versiones parcheadas de React incluyen una validación más estricta y un comportamiento de deserialización reforzado.
Por qué Podría Verse Afectado Incluso Sin Usar Funciones de Servidor
Los frameworks suelen incrustar la implementación RSC por defecto. Por lo tanto, una aplicación puede estar expuesta incluso si no define explícitamente Funciones de Servidor. La propia capa de integración puede invocar la ruta de código vulnerable.
Versiones Afectadas
Las versiones de React 19.0, 19.1.0, 19.1.1 y 19.2.0 son vulnerables.
Las versiones de Next.js a partir de 14.3.0-canary.77, así como todas las versiones 15.x y 16.x anteriores a sus versiones parcheadas, se ven afectadas debido a su uso de la implementación RSC.
Notas del Entorno de Alojamiento
Vercel ha implementado protecciones a nivel de capa de solicitud para reducir la exposición mientras los usuarios actualizan, pero estas no remedian la vulnerabilidad. Todos los usuarios deberían actualizar a las versiones parcheadas lo antes posible.
Severidad
Puntuación CVE: 10.0 Crítica
Impacto: Ejecución remota de código
Vector de ataque: Remoto y no autenticado
Cronología
29 de noviembre: Vulnerabilidad reportada
30 de noviembre: Confirmación y desarrollo de la solución
1 de diciembre: Coordinación con los mantenedores del framework y proveedores de hosting
3 de diciembre: Parches públicos lanzados y CVE revelado
Prueba de Concepto (Créditos a @maple3142)
El siguiente vídeo de prueba de concepto, publicado originalmente por @maple3142 en X, demuestra cómo las solicitudes multipart especialmente diseñadas pueden explotar la deserialización insegura en las versiones afectadas de React y Next.js. Todo el crédito al autor original.
Ver el vídeo completo de la prueba de concepto aquí.
El investigador demostró que, al manipular la lógica de deserialización de RSC, un atacante puede controlar la Chunk.prototype.then ruta de resolución, lo que lleva a la ejecución de lógica controlada por el atacante durante la deserialización de Blob. Los detalles técnicos completos están disponibles en la POC original publicada en GitHub Gist por @maple3142.
Escanea tu base de código ahora
Aikido rastrea CVE-2025-55182 y CVE-2025-66478 en todos los ecosistemas compatibles. Conecta tus repositorios para realizar un escaneo completo y evaluar rápidamente tu exposición. Empieza gratis con Aikido aquí.
Referencias
Equipo de React. Divulgación de CVE-2025-55182
Aviso de seguridad de Vercel sobre CVE-2025-55182 y CVE-2025-66478
Protege tu software ahora.
.avif)
