El equipo de React ha publicado correcciones para dos nuevos tipos de fallas en los componentes del servidor React (RSC) que, si se explotan con éxito, podrían provocar denegación de servicio (DoS) o exposición del código fuente.
El equipo dijo que los problemas fueron encontrados por la comunidad de seguridad al intentar explotar los parches lanzados para CVE-2025-55182 (puntuación CVSS: 10.0), un error crítico en RSC que desde entonces se ha convertido en un arma en la naturaleza.
Las tres vulnerabilidades se enumeran a continuación:
- CVE-2025-55184 (Puntuación CVSS: 7,5): una vulnerabilidad de denegación de servicio previa a la autenticación que surge de la deserialización insegura de cargas útiles de solicitudes HTTP a puntos finales de función de servidor, lo que desencadena un bucle infinito que bloquea el proceso del servidor y puede impedir que se atiendan futuras solicitudes HTTP.
- CVE-2025-67779 (Puntuación CVSS: 7,5): una solución incompleta para CVE-2025-55184 que tiene el mismo impacto
- CVE-2025-55183 (Puntuación CVSS: 5.3): una vulnerabilidad de fuga de información que puede provocar que una solicitud HTTP específicamente diseñada enviada a una función de servidor vulnerable devuelva el código fuente de cualquier función de servidor.
Sin embargo, la explotación exitosa de CVE-2025-55183 requiere la existencia de una función de servidor que exponga explícita o implícitamente un argumento que se haya convertido a un formato de cadena.
Las fallas que afectan las siguientes versiones de reaccionar-server-dom-parcel, reaccionar-server-dom-turbopack y reaccionar-server-dom-webpack –
- CVE-2025-55184 y CVE-2025-55183 – 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 y 19.2.1
- CVE-2025-67779 – 19.0.2, 19.1.3 y 19.2.2
A los investigadores de seguridad RyotaK y Shinsaku Nomura se les atribuye haber informado de los dos errores DoS al programa Meta Bug Bounty, mientras que a Andrew MacPherson se le ha reconocido por informar la falla de filtración de información.
Se recomienda a los usuarios que actualicen a versiones 19.0.3, 19.1.4 y 19.2.3 lo antes posible, particularmente a la luz de la exploración activa de CVE-2025-55182.
«Cuando se revela una vulnerabilidad crítica, los investigadores examinan las rutas de código adyacentes en busca de técnicas de explotación variantes para probar si se puede evitar la mitigación inicial», dijo el equipo de React. «Este patrón aparece en toda la industria, no sólo en JavaScript. Las revelaciones adicionales pueden ser frustrantes, pero generalmente son una señal de un ciclo de respuesta saludable».
