Errores críticos de RSC en React y Next.js permiten la ejecución remota de códig

Iniciado por AXCESS, Diciembre 04, 2025, 12:29:26 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 04, 2025, 12:29:26 AM


Se ha revelado una falla de seguridad de máxima gravedad en React Server Components (RSC) que, de explotarse con éxito, podría provocar la ejecución remota de código.

La vulnerabilidad, identificada como CVE-2025-55182, tiene una puntuación CVSS de 10.0.

Permite la ejecución remota de código no autenticado al explotar una falla en la forma en que React decodifica las cargas útiles enviadas a los endpoints de React Server Function, según declaró el equipo de React en una alerta emitida hoy.

Incluso si su aplicación no implementa ningún endpoint de React Server Function, podría ser vulnerable si es compatible con React Server Components.

Según la empresa de seguridad en la nube Wiz, el problema se debe a una deserialización lógica derivada del procesamiento inseguro de las cargas útiles de RSC. Como resultado, un atacante no autenticado podría crear una solicitud HTTP maliciosa a cualquier endpoint de React Server Function que, al ser deserializada por React, ejecute código JavaScript arbitrario en el servidor.

La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:

react-server-dom-webpack

react-server-dom-parcel

react-server-dom-turbopack


Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1. El investigador de seguridad neozelandés Lachlan Davidson fue el responsable del descubrimiento y reporte de la falla el 29 de noviembre de 2025.

Cabe destacar que la vulnerabilidad también afecta a Next.js que utiliza App Router. El problema se ha identificado con el identificador CVE CVE-2025-66478 ( puntuación CVSS: 10.0 ). Afecta a las versiones ≥14.3.0-canary.77, ≥15 y ≥16. Las versiones parcheadas son 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.

Sin embargo, cualquier biblioteca que incluya RSC probablemente se vea afectada por la falla. Esto incluye, entre otros, el complemento Vite RSC, el complemento Parcel RSC, la versión preliminar de React Router RSC, RedwoodJS y Waku.

Wiz indicó que el 39 % de los entornos en la nube tienen instancias vulnerables a CVE-2025-55182 o CVE-2025-66478. Dada la gravedad de la vulnerabilidad, se recomienda a los usuarios aplicar las correcciones lo antes posible para una protección óptima.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario