Vulnerabilidad Crítica React2Shell entra al catálogo KEV de CISA: alerta máxima para equipos de desarrollo

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) incorporó el CVE-2025-55182, apodado React2Shell, a su catálogo de Known Exploited Vulnerabilities (KEV) el 5 de diciembre de 2025, confirmando que la falla ya está siendo utilizada en ataques reales. La vulnerabilidad, con puntaje CVSS de 10.0, permite ejecución remota de código (RCE) sin autenticación en aplicaciones que utilizan React Server Components (RSC), afectando de forma directa a proyectos modernos basados en React y Next.js.

Cómo funciona React2Shell: un vector RCE que compromete toda la cadena de ejecución

La falla explota un mecanismo de deserialización insegura dentro del protocolo Flight de RSC, responsable de interpretar los payloads que viajan en peticiones HTTP hacia funciones del servidor.
Mediante prefijos manipulados —como "$1:constructor:constructor"— un atacante puede inyectar objetos maliciosos que terminan ejecutándose con los privilegios de la aplicación en backend.

El investigador Lachlan Davidson identificó el fallo, divulgado por Meta el 3 de diciembre. El impacto también afecta a Next.js, registrado como CVE-2025-66478, considerado un duplicado del mismo problema.
Un punto crítico para los equipos de desarrollo: las aplicaciones son vulnerables incluso si no usan Server Functions explícitamente, ampliando considerablemente el perímetro de riesgo para proyectos en producción.

Explotación masiva en curso: más de 77,000 sistemas expuestos

A pocas horas de conocerse la vulnerabilidad, actores de amenaza vinculados a China —incluyendo Earth Lamia y Jackpot Panda— iniciaron campañas de explotación automatizada.

• 77,000+ IPs expuestas detectadas con superficies vulnerables.

• Al menos 30 organizaciones ya comprometidas, según telemetría inicial.

• Pruebas de concepto funcionales circulan en GitHub, confirmando una ruta de RCE estable y replicable.

Datos de AWS y VulnCheck muestran que la técnica se alinea con tácticas MITRE como T1190 (explotación de aplicaciones públicas) y T1059 (abuso de intérpretes de comandos).
La velocidad con la que se está weaponizando React2Shell evoca directamente a incidentes históricos como Log4Shell, lo que subraya la urgencia para los equipos tecnológicos.

Mitigaciones prioritarias para líderes de TI y desarrolladores

CISA ordenó a las agencias federales corregir la vulnerabilidad antes del 6 de enero de 2026, pero para el sector privado el reloj corre igual de rápido. Las recomendaciones clave son:

• Actualizar React y Next.js a las versiones parcheadas sin excepción.

• Implementar reglas en tu WAF para bloquear payloads maliciosos asociados al protocolo Flight.

• Monitorear cambios inusuales en cabeceras como X-Action-Redirect.

• Escanear dependencias con herramientas como Sonatype, Snyk o similares.

• En entornos ASPM, elevar a prioridad crítica cualquier servicio con RSC expuesto a internet.