Cisco publica un aviso de seguridad sobre una vulnerabilidad crítica de ejecución remota en React y Next.js (CVE-2025-55182)

Cisco ha publicado esta semana un aviso de seguridad para alertar sobre una vulnerabilidad crítica en aplicaciones construidas con React Server Components y Next.js, rastreada como CVE-2025-55182. El fallo, con puntuación CVSS 10.0 (máxima), permite la ejecución remota de código (RCE) sin autenticación en servidores que utilicen determinadas versiones de estos frameworks.

Cisco ha incorporado a su portal de Cisco Security Advisories el boletín «Remote Code Execution Vulnerability in React and Next.js Frameworks: December 2025», clasificado como Crítico y asociado al identificador CVE-2025-55182. En este aviso, Cisco resume el problema y remite al advisory oficial de React, recordando a sus clientes la importancia de parchear de inmediato cualquier carga de trabajo basada en React y Next.js desplegada sobre su infraestructura.

Distintos informes de empresas de seguridad y de proveedores cloud estiman que hasta un 40% de los entornos cloud tienen instancias de React o Next.js potencialmente vulnerables, y que una parte importante de estas aplicaciones son públicas y expuestas a Internet.

En las últimas horas, varios equipos de «threat intelligence» han alertado de intentos de explotación activa por parte de grupos vinculados a China, como Earth Lamia y Jackpot Panda, que estarían aprovechando CVE-2025-55182 (también conocida como «React2Shell» o «React4Shell«) para comprometer aplicaciones web y servicios en la nube.

Productos Afectados

La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:

Solución

Cisco recomienda seguir las indicaciones de los propios proyectos React y Next.js y actualizar de inmediato a las versiones corregidas publicadas el 3 de diciembre de 2025, así como desplegar de nuevo las aplicaciones tras la actualización para asegurarse de que todas las dependencias quedan parcheadas.   

En resumen, las medidas principales son:

• Actualizar React y RSC: Migrar a las versiones de React 19 que ya incluyen la corrección de CVE-2025-55182, según el advisory oficial del proyecto.
• Actualizar Next.js y frameworks asociados: Actualizar Next.js a las versiones marcadas como seguras por Vercel para mitigar el impacto de la vulnerabilidad en aplicaciones con App Router y React Server Components.
• Reforzar la protección perimetral: Aplicar reglas específicas en WAF o firewalls de aplicaciones para detectar y bloquear patrones conocidos de explotación de React2Shell mientras se completa el ciclo de parcheo. Cisco, al igual que otros proveedores, recomienda estas medidas como mitigación temporal.
• Inventario y escaneo de activos: Utilizar herramientas de descubrimiento y escaneo (incluido el nuevo escáner publicado por distintos investigadores) para localizar endpoints RSC expuestos y dependencias vulnerables en todo el entorno.

Más información:

Cisco Security Advisory – Remote Code Execution Vulnerability in React and Next.js Frameworks: December 2025: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-react-flight-TYw32Ddb
React – Critical Security Vulnerability in React Server Components: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Vercel / Next.js – Resumen y parches de CVE-2025-55182: https://vercel.com/changelog/cve-2025-55182
NVD – Detalle técnico de CVE-2025-55182 y CVE-2025-66478: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-55182 y https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-66478
Wiz (Critical Vulnerabilities in React and Next.js: everything you need to know): https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

Acerca de Juan González

Juan González Ha escrito 33 publicaciones.

• View all posts by Juan González →
• Blog