«Ups, no lo arreglamos del todo»: creadores de React reconocen que el último parche dejó que desear
La vieja vulnerabilidad sigue ahí y ahora trae nuevos riesgos.
La larga historia con React2Shell, que todavía provoca fallos en muchos proyectos web, tuvo continuación: se descubrió que la corrección anterior del problema fue incompleta. Durante el análisis de este caso se encontraron otras dos vulnerabilidades en la implementación de React Server Components y se asignó un identificador separado para la deficiencia previa.
Liz Horder del equipo de Vercel informó que se trata de un problema de alta criticidad que conduce a una denegación de servicio (CVE-2025-55184), y de una vulnerabilidad de gravedad media que permite obtener el código fuente compilado de Server Actions (CVE-2025-55183). Estas fallas no permiten la ejecución remota de código. Además se señala que la corrección inicial de React2Shell no cubría los ataques de denegación de servicio para todos los tipos de carga, lo que provocó la aparición de CVE-2025-67779.
En el caso de CVE-2025-55184, un atacante puede enviar una solicitud HTTP especialmente formada a cualquier extremo del App Router para, durante la deserialización, 'colgar' el proceso del servidor y saturar la CPU. CVE-2025-55183 permite, mediante una solicitud, obtener el código compilado de Server Actions, lo que puede revelar la lógica de negocio. Los secretos no deberían filtrarse, salvo que estuvieran codificados de forma fija en el código.
Los problemas afectan a las versiones 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 y 19.2.1 de los paquetes react-server-dom-parcel, react-server-dom-webpack y react-server-dom-turbopack. Estos componentes se usan en Next.js (ramas 13.x, 14.x, 15.x y 16.x) y también pueden aparecer en otros frameworks y complementos que integran o dependen de la implementación de React Server Components.
Para reducir el riesgo, Vercel añadió nuevas reglas y las desplegó en Vercel WAF para proteger automáticamente, sin coste adicional, los proyectos alojados en la plataforma. No obstante, la compañía subraya que no conviene confiar únicamente en el WAF y recomienda actualizar lo antes posible a las versiones con las correcciones. Las vulnerabilidades se han corregido en React 19.0.2, 19.1.3 y 19.2.2, así como en las versiones de Next.js 14.2.35, 15.0.7, 15.1.11, 15.2.8, 15.3.8, 15.4.10, 15.5.9, 15.6.0-canary.60, 16.0.10 y 16.1.0-canary.19.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla