Google Drive, React Server Components y Apache Tika bajo fuego: tres fallas críticas redefinen el riesgo para equipos de TI
Resumen del día
La semana dejó una triple alerta para equipos de TI: React2Shell permitió RCE crítico en React y Next.js, ya con explotación activa.
Perplexity Comet abrió la puerta a un ataque zero-click capaz de borrar Google Drive sin interacción del usuario.
Apache Tika sumó una vulnerabilidad XXE CVSS 10 que permite leer archivos, lanzar SSRF y ejecutar código mediante PDFs maliciosos.
El panorama confirma una ofensiva simultánea contra frameworks web, agentes de IA y pipelines de análisis documental, exigiendo parches inmediatos.
Vulnerabilidad Crítica React2Shell entra al catálogo KEV de CISA: alerta máxima para equipos de desarrollo
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) incorporó el CVE-2025-55182, apodado React2Shell, a su catálogo de Known Exploited Vulnerabilities (KEV) el 5 de diciembre de 2025, confirmando que la falla ya está siendo utilizada en ataques reales. La vulnerabilidad, con puntaje CVSS de 10.0, permite ejecución remota de código (RCE) sin autenticación en aplicaciones que utilizan React Server Components (RSC), afectando de forma directa a proyectos modernos basados en React y Next.js.Cómo funciona React2Shell: un vector RCE que compromete toda la cadena de ejecuciónLa falla explota un mecanismo de deserialización insegura dentro del protocolo Flight de RSC, responsable de interpretar los payloads que viajan en peticiones HTTP hacia funciones del...
Nuevo ataque zero-click en navegadores agénticos permite borrar Google Drive sin interacción del usuario
Un sofisticado ataque zero-click ha sido descubierto afectando a navegadores agénticos, permitiendo que ciberdelincuentes eliminen archivos completos de Google Drive sin que el usuario haga absolutamente nada. Este tipo de vulnerabilidad —que no requiere interacción, como hacer clic en enlaces maliciosos o abrir archivos infectados— representa un riesgo grave para la seguridad digital y para la integridad de la información almacenada en la nube.La técnica explota una falla en el manejo de permisos y solicitudes automatizadas de dichos navegadores, ampliamente utilizados en entornos corporativos y procesos de automatización web. Mediante esta debilidad, los atacantes pueden ejecutar comandos de borrado en la nube aprovechando procesos internos que administran credenciales y...
