Vulnerabilidad crítica en React 19

React Server Components (RSC) y versiones afectadas.

🛑 CVE-2025-55182 · RCE ⚙ React 19 · RSC 🌐 Explotable vía una única petición HTTP
1. ¿En qué consiste la vulnerabilidad?

Tipo: vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación.

  • Se ha bautizado como React2Shell.
  • Afecta a las React Server Components (RSC).
  • Permite a un atacante ejecutar código arbitrario en el servidor.
  • No requiere credenciales: basta una sola petición HTTP maliciosa.
2. ¿Cómo se explota?

El problema está en la forma en que React Server Components:

  • Deserializan datos recibidos en el servidor.
  • Usan el protocolo Flight para intercambiar datos entre cliente y servidor.
  • Esa deserialización es insegura y permite inyectar un payload malicioso.
  • Con ese payload, el atacante puede tomar el control del flujo y ejecutar código en el servidor.
3. Versiones y paquetes afectados

Paquetes RSC afectados en React 19:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Rango de versiones vulnerables:

React 19 19.0.0
React 19 19.1.0
React 19 19.1.1
React 19 19.2.0

Frameworks potencialmente afectados:

Next.js React Router (RSC) Vite + plugins RSC Parcel/Turbopack RSC
4. Impacto de seguridad

Consecuencias principales:

  • RCE pre-autenticación: el atacante no necesita iniciar sesión.
  • Compromiso completo del servidor donde corre la app React con RSC.
  • Acceso potencial a datos sensibles, secretos, ficheros o recursos internos.
  • Posible pivotaje hacia otros sistemas conectados al servidor comprometido.
⚠ Si usas React 19 con Server Components sin parchear, una única petición HTTP maliciosa puede otorgar control del servidor al atacante.
5. Solución recomendada (alto nivel)

Actualizar a versiones parcheadas de React 19:

  • React 19.0.1
  • React 19.1.2
  • React 19.2.1

Además de actualizar React y los paquetes RSC, los frameworks que integran RSC (como Next.js u otros) deben actualizarse a sus versiones que incluyan el parche.

✅ Cualquier proyecto que use React Server Components en React 19 debe actualizar React y el framework asociado a la versión parcheada tan pronto como sea posible.
6. Comandos para actualizar React 19 desde consola

 6.1. Actualizar React y React DOM a versiones parcheadas

npm install react@latest react-dom@latest

 6.2. Verificar qué tienes instalado

npm list react react-dom

 6.3. Actualizar paquetes de React Server Components (si existen en tu proyecto) 

npm install react-server-dom-webpack@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-turbopack@latest

 6.4. Actualizar dependencias del proyecto

npm update

🟢 Después de instalar, ejecuta npm run dev o npm start para comprobar si todo funciona correctamente.

Esta hoja es un resumen esquemático de la vulnerabilidad en React Server Components (React 19). Mi recomendación: consultar siempre el aviso oficial de React para detalles técnicos y pasos exactos de mitigación.