Esta noticia forma parte del resumen del día:
Plan Nacional de Ciberseguridad 2025–2030
05 de December de 2025
Ver resumen completo
Noticia 2 de 2

Fallos críticos en React y Next.js permiten ejecución remota de código sin autenticación

Fallos críticos en React y Next.js permiten ejecución remota de código sin autenticación

El ecosistema JavaScript enfrenta una alerta mayor tras revelarse vulnerabilidades críticas en React Server Components (RSC) y Next.js, capaces de permitir ejecución remota de código (RCE) sin autenticación mediante simples solicitudes HTTP manipuladas.
El equipo de React confirmó los fallos tras reportes independientes que demostraron explotación confiable desde Internet.

Deserialización insegura en ReactFlight: la raíz del problema

Los fallos —CVE-2025-55182 en React (CVSS 10.0) y CVE-2025-66478 en Next.js— se originan en una deserialización insegura dentro del protocolo ReactFlight, utilizado para el intercambio de datos entre cliente y servidor en arquitecturas RSC.

Las versiones afectadas incluyen:

  • React 19.0 a 19.2.0 en los paquetes:

    • react-server-dom-webpack

    • react-server-dom-parcel

    • react-server-dom-turbopack

  • Next.js 15 y 16 con App Router en configuraciones predeterminadas.

El ataque consiste en enviar un payload especialmente construido a los endpoints de Server Functions, desencadenando ejecución de JavaScript con privilegios del proceso Node.js, utilizando funciones internas como vm.runInThisContext.

Impacto masivo: millones de aplicaciones web expuestas

El alcance es significativo: se estima que casi el 39% de los entornos cloud utilizan versiones vulnerables, exponiendo a millones de aplicaciones web a explotación inmediata.

Si bien React puro no expone endpoints vulnerables por defecto, Next.js sí lo hace a través de los streams Flight accesibles desde el navegador, lo que convierte la vulnerabilidad en una superficie de ataque remota y sin autenticación.
Investigaciones de Wiz y Upwind confirman que:

  • Las implementaciones estándar son directamente explotables.

  • La fiabilidad del exploit es cercana al 100%.

  • Los vectores no requieren permisos, usuarios válidos o condiciones especiales.

En otras palabras: basta con tener acceso de red a la aplicación para intentar la explotación.

Mitigación urgente para equipos de desarrollo y DevOps

React y Next.js ya han lanzado parches, pero la comunidad técnica advierte que la ventana de explotación será extremadamente corta.

Recomendaciones clave:

  • Actualizar inmediatamente a las versiones corregidas.

  • Auditar dependencias para detectar paquetes RSC vulnerables.

  • Implementar reglas específicas de WAF que bloqueen payloads malformados.

  • Monitorear tráfico HTTP hacia endpoints asociados a RSC y Server Functions.

  • Restringir temporalmente el acceso de red a servicios internos en despliegues cloud.

Expertos coinciden: esta es una de las vulnerabilidades más críticas en la historia reciente de React y Next.js, y su explotación en la naturaleza es considerada “inminente”.

Fuente: https://www.nyroxis.fr/critical-rsc-bugs-in-react-and-next-js-allow-unauthenticated-remote-code-execution/
← Anterior México presenta su Plan Nacional de Cib...
Escrito por:
Luis Carreón
📰 Otras noticias del resumen
Noticia 1
México presenta su Plan Nacional de Ciberseguridad 2025–2030 entre dudas sobre su viabilidad y vacíos críticos
Noticia 2 (Actual)
Fallos críticos en React y Next.js permiten ejecución remota de código sin autenticación
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al resumen completo Volver al inicio