Cisco publica un aviso de seguridad sobre una vulnerabilidad crítica de ejecución remota en React y Next.js (CVE-2025-55182)

Juan González

hace 3 semanas

Cisco ha publicado esta semana un aviso de seguridad para alertar sobre una vulnerabilidad crítica en aplicaciones construidas con React Server Components y Next.js, rastreada como CVE-2025-55182. El fallo, con puntuación CVSS 10.0 (máxima), permite la ejecución remota de código (RCE) sin autenticación en servidores que utilicen determinadas versiones de estos frameworks.

Cisco ha incorporado a su portal de Cisco Security Advisories el boletín «Remote Code Execution Vulnerability in React and Next.js Frameworks: December 2025», clasificado como Crítico y asociado al identificador CVE-2025-55182. En este aviso, Cisco resume el problema y remite al advisory oficial de React, recordando a sus clientes la importancia de parchear de inmediato cualquier carga de trabajo basada en React y Next.js desplegada sobre su infraestructura.

Distintos informes de empresas de seguridad y de proveedores cloud estiman que hasta un 40% de los entornos cloud tienen instancias de React o Next.js potencialmente vulnerables, y que una parte importante de estas aplicaciones son públicas y expuestas a Internet.

En las últimas horas, varios equipos de «threat intelligence» han alertado de intentos de explotación activa por parte de grupos vinculados a China, como Earth Lamia y Jackpot Panda, que estarían aprovechando CVE-2025-55182 (también conocida como «React2Shell» o «React4Shell«) para comprometer aplicaciones web y servicios en la nube.

Productos Afectados

La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:

Producto afectado – Vulnerabilidad	Riesgo	CVE
*React Server Components (React 19 – paquetes react-server-dom-)** Deserialización insegura en el protocolo Flight que permite ejecución remota de código sin autenticación.	Crítico (CVSS 10.0 según NVD)	CVE-2025-55182
Aplicaciones Next.js (versiones 15.x y 16.x con App Router y soporte RSC) Exposición a RCE no autenticado al reutilizar los componentes y paquetes vulnerables de React Server Components.	Crítico (CVSS 10.0 según NVD)	CVE-2025-55182 CVE-2025-66478 (marcado como duplicado)
Otros frameworks y SDK basados en RSC (por ejemplo, React Router RSC preview, Redwood SDK, Waku, plugins RSC para Vite y Parcel) Heredan el mismo fallo de deserialización en el protocolo Flight.	Crítico (CVSS 10.0 según NVD)	CVE-2025-55182

Solución

Cisco recomienda seguir las indicaciones de los propios proyectos React y Next.js y actualizar de inmediato a las versiones corregidas publicadas el 3 de diciembre de 2025, así como desplegar de nuevo las aplicaciones tras la actualización para asegurarse de que todas las dependencias quedan parcheadas.

En resumen, las medidas principales son:

Actualizar React y RSC: Migrar a las versiones de React 19 que ya incluyen la corrección de CVE-2025-55182, según el advisory oficial del proyecto.
Actualizar Next.js y frameworks asociados: Actualizar Next.js a las versiones marcadas como seguras por Vercel para mitigar el impacto de la vulnerabilidad en aplicaciones con App Router y React Server Components.
Reforzar la protección perimetral: Aplicar reglas específicas en WAF o firewalls de aplicaciones para detectar y bloquear patrones conocidos de explotación de React2Shell mientras se completa el ciclo de parcheo. Cisco, al igual que otros proveedores, recomienda estas medidas como mitigación temporal.
Inventario y escaneo de activos: Utilizar herramientas de descubrimiento y escaneo (incluido el nuevo escáner publicado por distintos investigadores) para localizar endpoints RSC expuestos y dependencias vulnerables en todo el entorno.