Vulnerabilidades

Vulnerabilidades críticas en React Server Components y Next.js

Clock Icon 5 lectura mínima
Related Products
CortexCortex XDRCortex XSIAMUnit 42 Incident Response iconUnit 42 Incident Response

Resumen ejecutivo

El 3 de diciembre de 2025, investigadores revelaron públicamente vulnerabilidades críticas de ejecución remota de código (RCE) en el protocolo Flight utilizado por React Server Components (RSC). Estas vulnerabilidades se rastrean como CVE-2025-55182 (React) y CVE-2025-66478 (Next.js), a las cuales se les ha asignado una calificación de severidad máxima de CVSS 10.0.

CVE-2025-66478 ha sido rechazado por ser un duplicado de CVE-2025-55182.

El fallo permite a atacantes no autenticados ejecutar código arbitrario en el servidor a través de la deserialización insegura de solicitudes HTTP maliciosas. Las pruebas indican que el exploit tiene una fiabilidad cercana al 100% y no requiere cambios en el código para ser efectivo contra configuraciones predeterminadas. No ha habido informes de explotación activa (in the wild) hasta el 3 de diciembre de 2025.

React se implementa fuertemente en entornos empresariales, siendo utilizado por aproximadamente el 40% de todos los desarrolladores, mientras que Next.js es utilizado por aproximadamente el 18%-20%. Esto lo convierte en el framework del lado del servidor líder para el ecosistema React.

Cortex Xpanse de Palo Alto Networks ha identificado la presencia de más de 968,000 instancias de React y Next.js en nuestra telemetría.

Estas vulnerabilidades impactan el ecosistema de React 19 y los frameworks que lo implementan. Específicamente, afectan a las siguientes versiones:

  • React: Versiones 19.0, 19.1 y 19.2
  • Next.js: Versiones 15.x y 16.x (App Router), así como compilaciones Canary a partir de la 14.3.0
  • Otros frameworks: Cualquier biblioteca que incluya la implementación react-server, incluyendo React Router, Waku, RedwoodSDK, Parcel y plugins RSC de Vite

Los clientes de Palo Alto Networks reciben protecciones y mitigaciones para CVE-2025-55182 y CVE-2025-66478 de las siguientes maneras:

  • Los agentes de Cortex XDR y XSIAM ayudan a proteger contra actividades posteriores a la explotación utilizando el enfoque de protección multicapa.

Palo Alto Networks también recomienda actualizar a las siguientes versiones reforzadas de inmediato:

  • React: Actualizar a 19.0.1, 19.1.2 o 19.2.1
  • Next.js: Actualizar a las últimas versiones estables con parches, incluyendo 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 o 15.0.5

El equipo de Respuesta a Incidentes de Unit 42 puede ser contratado para ayudar con un compromiso o para proporcionar una evaluación proactiva para reducir su riesgo.

Vulnerabilidades discutidas CVE-2025-55182, CVE-2025-66478

Detalles de las vulnerabilidades: CVE-2025-55182 (React) y CVE-2025-66478 (Next.js)

CVE-2025-55182 (React) y CVE-2025-66478 (Next.js) se clasifican como Críticas (CVSS 10.0) y son causadas por una deserialización insegura dentro de la arquitectura RSC, específicamente involucrando el protocolo Flight.

Las vulnerabilidades residen en el paquete react-server y su implementación del protocolo RSC Flight. Es un fallo de deserialización lógica donde el servidor procesa cargas útiles (payloads) de RSC de manera segura.

Cuando un servidor recibe una carga útil HTTP malformada y especialmente diseñada (típicamente a través de datos entregados en una solicitud POST), falla al validar correctamente la estructura de los datos. Debido a esta deserialización insegura, el servidor permite que datos controlados por el atacante influyan en la lógica de ejecución del lado del servidor.

Esto resulta en RCE, permitiendo a un atacante ejecutar código JavaScript arbitrario con privilegios en el servidor.

Vector de ataque y explotabilidad

  • Complejidad del ataque: La complejidad del ataque es baja. No requiere interacción del usuario ni privilegios (no autenticado).
  • Endpoints objetivo: El ataque se dirige a los endpoints de React Server Functions.
    • Matiz crítico: Incluso si una aplicación no implementa o utiliza estrictamente React Server Functions, sigue siendo vulnerable si la aplicación soporta React Server Components en general.
  • Fiabilidad: Las pruebas han demostrado que el exploit tiene una fiabilidad cercana al 100%.
  • Configuración predeterminada: La vulnerabilidad está presente en configuraciones predeterminadas. Por ejemplo, una aplicación estándar de Next.js creada con create-next-app y construida para producción es explotable sin ningún cambio de código por parte del desarrollador.

Componentes específicos afectados

Aunque generalmente se describen como afectando a React y Next.js, las vulnerabilidades existen técnicamente dentro de paquetes subyacentes específicos que manejan el renderizado del lado del servidor y la carga de módulos.

Paquetes afectados

Las vulnerabilidades están presentes en las versiones 19.0.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Implementaciones de frameworks afectados

Cualquier framework que incluya estos paquetes se ve afectado:

  • Next.js: Versiones 15.x y 16.x (App Router), así como compilaciones Canary a partir de 14.3.0-canary.77
  • Otros ecosistemas: React Router, Waku, RedwoodSDK, Parcel y el plugin RSC de Vite están todos afectados si utilizan los paquetes vulnerables de React.

Guía provisional

Acciones requeridas: La aplicación inmediata de parches es la única mitigación definitiva.

Los equipos de ingeniería y seguridad deben actualizar a las siguientes versiones reforzadas inmediatamente:

  • React: Actualizar a 19.0.1, 19.1.2 o 19.2.1
  • Next.js: Actualizar a las últimas versiones estables con parches, incluyendo 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 o 15.0.5

Para las últimas actualizaciones sobre estas vulnerabilidades, consulte la documentación proporcionada por cada proveedor respectivo:

Consultas de Unit 42 Managed Threat Hunting

El equipo de Unit 42 Managed Threat Hunting continúa rastreando cualquier intento de explotar este CVE en todos nuestros clientes, utilizando Cortex XDR y las consultas XQL a continuación. Los clientes de Cortex XDR también pueden usar estas consultas XQL para buscar signos de explotación.

Las siguientes consultas de hunting no son detecciones de alta fidelidad y deben investigarse para determinar si el servidor web opera componentes vulnerables de React Server Components.

Conclusión

La distinción crítica de estas vulnerabilidades es su naturaleza como un fallo lógico determinista en el protocolo Flight, en lugar de un error probabilístico. A diferencia de los errores de corrupción de memoria que pueden fallar, este defecto garantiza la ejecución, transformándolo en un bypass confiable a nivel de sistema para los atacantes. Amplificado por la huella masiva de Next.js en entornos empresariales, esto crea un conducto directo a datos internos confidenciales.

En última instancia, este incidente subraya la fricción inherente entre el rendimiento y la seguridad en la arquitectura moderna. Si bien los React Server Components optimizan la obtención de datos y la optimización de motores de búsqueda (SEO) al mover la lógica más cerca de la fuente, simultáneamente mueven la superficie de ataque más cerca de los datos más confidenciales y valiosos de las organizaciones.

Los clientes de Palo Alto Networks están mejor protegidos por nuestros productos, como se enumera a continuación. Actualizaremos este resumen de amenazas a medida que haya más información relevante disponible.

Protecciones de productos de Palo Alto Networks para CVE-2025-55182 y CVE-2025-66478

Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones de productos y actualizaciones para identificar y defenderse contra esta amenaza.

Si cree que podría haber sido comprometido o tiene un asunto urgente, póngase en contacto con el equipo de Respuesta a Incidentes de Unit 42 o llame al:

  • América del Norte: Línea gratuita: +1 (866) 486-4842 (866.4.UNIT42)
  • Reino Unido: +44.20.3743.3660
  • Europa y Medio Oriente: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 000 800 050 45107

Next-Generation Firewalls con Advanced Threat Prevention

El Next-Generation Firewall con la suscripción de seguridad Advanced Threat Prevention puede ayudar a bloquear los ataques a través de las siguientes firmas de Threat Prevention: 96779 y 96780

Cortex XDR y XSIAM

Los agentes de Cortex XDR y XSIAM ayudan a proteger contra actividades posteriores a la explotación utilizando el enfoque de protección multicapa.

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados Vulnerabilidades Recursos

Pictorial representation of an authentication coercion attack. Panoramic view of a city skyline at night, featuring vibrant light beams from skyscrapers and a deep blue sky.
Investigación de amenazas

¿Pensaba que se había acabado? La coacción de la autenticación sigue evolucionando
Leer ahora Right arrow
Pictorial representation of LANDFALL spyware. An illustration of a glowing red warning icon centered on a detailed blue circuit board background, representing a vulnerability in Samsung Galaxy devices.
Investigación de amenazas

LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung
Leer ahora Right arrow
Pictorial representation of CVE-2025-59287. Digital image of a glowing padlock symbol representing cybersecurity on a network grid with blue and orange lights.
Amenazas sofisticadas

Explotación activa en campo de la ejecución remota de código (CVE-2025-59287) en Microsoft WSUS (actualizado el 3 de noviembre)
Leer ahora Right arrow
A man wearing glasses focused on a screen with reflections of code visible in the glasses.
Investigación de amenazas

Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A
Leer ahora Right arrow
Pictorial representation of F5 data theft incident. Digital illustration of a 3D globe showing network connections and data flow across continents, highlighted with red lines and glowing points, representing global communication and connectivity.
Amenazas sofisticadas

Threat Brief: Un Actor de Estado-Nación Roba el Código Fuente y Vulnerabilidades No Divulgadas de F5
Leer ahora Right arrow
Pictorial representation of vulnerabilities in TOTOLINK X6000R. Close-up of a digital display with illuminated red and blue lights indicating a "SYSTEM HACKED" alert.
Investigación de amenazas

TOTOLINK X6000R: se descubren tres nuevas vulnerabilidades
Leer ahora Right arrow
Pictorial representation of Salesforce compromised by attackers. Colorful abstract digital artwork featuring a gradient of red to blue hues with a raised, spike-like texture pattern resembling a city skyline.
Amenazas sofisticadas

Resumen sobre amenazas: integración de Salesloft Drift utilizada para comprometer instancias de Salesforce
Leer ahora Right arrow
Pictorial representation of CVE-2024-36401. Digital illustration of a map of North America with interconnected glowing lines and dots symbolizing network connections across the continent.
Investigación de amenazas

Su conexión, su dinero: los actores de amenazas hacen un uso indebido de los SDK para vender su ancho de banda
Leer ahora Right arrow
Pictorial representation of attackers leveraging Active Directory or LDAP. Close-up view of a server rack panel with illuminated lights and a digital display reading 'SYSTEM HACKED'.
Amenazas sofisticadas

Explotación activa de las vulnerabilidades de Microsoft SharePoint (Actualizado el 31 de julio)
Leer ahora Right arrow
Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow