Se ha revelado una falla de seguridad de máxima gravedad en React Server Components (RSC) que, si se explota con éxito, podría resultar en la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2025-55182, tiene una puntuación CVSS de 10,0.
Permite «la ejecución remota de código no autenticado al explotar una falla en cómo React decodifica las cargas enviadas a los puntos finales de la función React Server», dijo el equipo de React en una alerta emitida hoy.
«Incluso si su aplicación no implementa ningún punto final de la función React Server, aún puede ser vulnerable si su aplicación admite componentes de React Server».
Según la firma de seguridad en la nube Wiz, el problema es un caso de deserialización lógica que surge del procesamiento de cargas RSC de manera insegura. Como resultado, un atacante no autenticado podría crear una solicitud HTTP maliciosa a cualquier punto final de función de servidor que, cuando React la deserializa, logra la ejecución de código JavaScript arbitrario en el servidor.
La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
- reaccionar-servidor-dom-webpack
- reaccionar-servidor-dom-parcel
- reaccionar-servidor-dom-turbopack
Se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1. Al investigador de seguridad con sede en Nueva Zelanda, Lachlan Davidson, se le atribuye el descubrimiento y el informe de la falla el 29 de noviembre de 2025.
Vale la pena señalar que la vulnerabilidad también afecta a Next.js que usa App Router. Al problema se le ha asignado el identificador CVE CVE-2025-66478 (puntuación CVSS: 10,0). Afecta a las versiones >=14.3.0-canary.77, >=15 y >=16. Las versiones parcheadas son 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.
Dicho esto, es probable que cualquier biblioteca que incluya RSC se vea afectada por la falla. Esto incluye, entre otros, el complemento Vite RSC, el complemento Parcel RSC, la vista previa de React Router RSC, RedwoodJS y Waku.
Wiz dijo que el 39% de los entornos de nube tienen instancias vulnerables a CVE-2025-55182 y/o CVE-2025-66478. A la luz de la gravedad de la vulnerabilidad, se recomienda que los usuarios apliquen las correcciones lo antes posible para una protección óptima.
