Los investigadores de seguridad advirtieron el miércoles sobre una vulnerabilidad crítica en React Server Components (RCS) y Next.js.
La vulnerabilidad, rastreada como CVE-2025-55182permite la ejecución remota de código no autenticado, derivado de una deserialización insegura de cargas útiles que se envían a los puntos finales de la función React Server.
Si bien la falla se originó en el protocolo RCS del software de código abierto React, también tiene un impacto posterior en Siguiente.js aplicaciones, con una vulnerabilidad rastreada como CVE-2025-66478. El problema se considera extremadamente peligroso y ambas vulnerabilidades tienen una puntuación de gravedad de 10.
Los investigadores de Wiz dijeron que durante su experimentación descubrieron que la falla tenía «alta fidelidad» con una tasa de éxito de casi el 100%. Podría aprovecharse para lograr la ejecución remota completa del código. según un blog publicado el miércoles.
Lo que también preocupa a los investigadores de seguridad es que las configuraciones son vulnerables de forma predeterminada. La falla requiere un parche inmediato por parte de los usuarios. Reaccionar y Vercel cada uno emitió una guía para actualizar el software.
React, desarrollado originalmente por Facebook, es un JavaScript Biblioteca utilizada para crear interfaces de usuario y es uno de los marcos de aplicaciones web más utilizados en el mundo.
«Si bien los detalles siguen siendo limitados y la explotación requiere pocos requisitos previos, no debería haber duda de que la explotación en estado salvaje es inminente tan pronto como los atacantes comiencen a analizar los parches ahora públicos», dijo Benjamin Harris, fundador y director ejecutivo de watchTowr, a Cybersecurity Dive.
El investigador de seguridad Lachlan Davidson informó la falla a React el 29 de noviembre a través del programa Meta Bug Bounty.
Los investigadores de Wiz señalaron que El 40% de los entornos de nube contienen instancias vulnerables de Siguiente.js o Reaccionar.
Fuente