- La falla crítica de React (CVE-2025-55182) permite la autenticación previa RCE en los componentes del servidor React
- Afecta a las versiones 19.0–19.2.0 y frameworks como Next, React Router, Vite; parches lanzados en 19.0.1, 19.1.2, 19.2.1
- Los expertos advierten que la exploración es inminente, con una tasa de éxito cercana al 100%; actualizaciones urgentes muy recomendables
React es uno de los más populares. Bibliotecas de JavaScriptque impulsa gran parte de la Internet actual. Los investigadores descubrieron recientemente una vulnerabilidad de máxima gravedad. Este error puede permitir que incluso los actores de amenazas poco capacitados ejecuten código malicioso (RCE) en instancias vulnerables.
A principios de esta semana, el equipo de React publicó un nuevo aviso de seguridad que detalla un error de autenticación previa en múltiples versiones de múltiples paquetes, que afecta los componentes de React Server. Las versiones afectadas incluyen 19.0, 19.1.0, 19.1.1 y 19.2.0 de reaccionar-server-dom-webpack, reaccionar-server-dom-parcel y reaccionar-server-dom-turbopack.
El error ahora se rastrea como CVE-2025-55182 y se le ha asignado una puntuación de gravedad de 10/10 (crítico).
Explotación inminente: no hay duda al respecto
Se dijo que la configuración predeterminada de varios marcos y empaquetadores de React también se ve afectada por este error, incluidos next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc y rwsdk.
Las versiones que resolvieron el error son 19.0.1, 19.1.2 y 19.2.1, y React anima a todos los usuarios a aplicar la solución lo antes posible. “Recomendamos actualizar de inmediato”, dijo el equipo de React.
De acuerdo a El récordReact impulsa casi dos de cada cinco entornos de nube, por lo que la superficie de ataque es grande, por decir lo menos. Facebook, Instagram, Netflix, Airbnb, Shopify y otros gigantes de la web dependen hoy de React, al igual que millones de otros desarrolladores.
Benjamin Harris, fundador y director ejecutivo del proveedor de herramientas de gestión de exposiciones watchTowr, dijo a la publicación que la falla “sin duda” será explotada en la naturaleza. De hecho, el abuso es “inminente”, cree, especialmente ahora que se ha publicado el comunicado.
Wiz pudo probar el error y afirma que “la explotación de esta vulnerabilidad fue de alta fidelidad, con una tasa de éxito cercana al 100% y puede usarse para la ejecución remota completa de código”.
En otras palabras, ahora no es el momento de relajarse: solucionar este defecto debería ser la prioridad número uno de todos.
A través de El récord
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrese de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
