React ha publicado nuevas correcciones de seguridad para React Server Components (RSC) y Server Functions tras detectarse vulnerabilidades adicionales durante el análisis de parches anteriores. Los problemas pueden provocar denegación de servicio (DoS) y, en determinados escenarios, filtrar código fuente de funciones del servidor, por lo que se recomienda actualizar cuanto antes.
El 11 de diciembre de 2025, el equipo de React comunicó nuevas correcciones de seguridad relacionadas con React Server Components (RSC) y las funciones del servidor, tras identificarse problemas adicionales durante el análisis de parches publicados días antes para mitigar React2Shell. Aunque estos fallos no se describen como ejecución remota de código, sí afectan a dos aspectos críticos en producción: la disponibilidad del servicio y, en determinados casos, la confidencialidad del código del lado servidor.
React corrige dos clases de impacto: por un lado, Denegación de Servicio (DoS) sin autenticación contra endpoints de Server Functions/Server Actions mediante solicitudes HTTP con payloads manipulados que pueden disparar procesamiento no terminante durante la deserialización y agotar recursos; por otro, una exposición de información que, bajo condiciones concretas, puede provocar que el servidor devuelva el código (o su representación compilada/serializada) de funciones del servidor, con el consiguiente riesgo de revelar lógica interna y, si existieran, secretos embebidos en el propio código.
- CVE-2025-55184: DoS ligado al manejo/deserialización de payloads asociadas a Server Functions; puede degradar severamente el servicio o dejarlo inoperativo.
- CVE-2025-67779: DoS adicional publicado tras detectarse que el arreglo anterior no cubría todos los escenarios.
- CVE-2025-55183: Exposición de código, puede facilitar el análisis de la lógica de negocio y agravar el impacto si hay secretos hardcodeados.
React indica que el impacto se concentra en paquetes de la familia react-server-dom (incluyendo integraciones con diferentes herramientas de empaquetado) y recomienda actualizar a versiones corregidas en las ramas 19.x. En el caso de Next.js, el aviso se centra en despliegues que usan App Router/RSC, recalcando que no existe una mitigación alternativa equivalente al parcheo y proporcionando versiones corregidas por rama.
Más información
- New React RSC Vulnerabilities Enable DoS and Source Code Exposure
https://thehackernews.com/2025/12/new-react-rsc-vulnerabilities-enable.html - Denial of Service and Source Code Exposure in React Server Components (React
https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components - Critical Security Vulnerability in React Server Components (React2Shell)
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components - Next.js Security Update: December 11, 2025
https://nextjs.org/blog/security-update-2025-12-11 - Security Bulletin: CVE-2025-55184 and CVE-2025-55183 (Vercel)
https://vercel.com/kb/bulletin/security-bulletin-cve-2025-55184-and-cve-2025-55183
Deja una respuesta