- El error crítico de React (CVE-2025-55182) permite la autorización previa de RCE en los componentes de React Server
- Afecta a las versiones 19.0–19.2.0 y frameworks como Next, React Router, Vite; Parches 19.0.1, 19.1.2, 19.2.1
- Los expertos advierten que la explotación está cerca de tener una tasa de éxito del 100%; Se recomienda encarecidamente realizar actualizaciones urgentes.
React es una de las bibliotecas de JavaScript más populares que impulsa gran parte de Internet actual. Los investigadores han descubierto recientemente una vulnerabilidad de máxima gravedad. Esta falla podría permitir que incluso actores de amenazas no capacitados ejecuten código malicioso (RCE) en instancias vulnerables.
A principios de esta semana, el equipo de React publicó un nuevo aviso de seguridad que detalla un error de autenticación previa en múltiples versiones de múltiples paquetes que afecta los componentes de React Server. Las versiones afectadas incluyen 19.0, 19.1.0, 19.1.1 y 19.2.0, reaccionar-server-dom-webpack, reaccionar-server-dom-parcel y reaccionar-server-dom-turbopack.
El error ahora se rastrea como CVE-2025-55182 y se le ha asignado una puntuación de gravedad de 10/10 (crítico).
La explotación está cerca, de ello no hay duda.
La configuración predeterminada de varios marcos y constructores de React también se ve afectada por este error, dijo, incluidos next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc y rwsdk.
Las versiones que solucionaron el error son 19.0.1, 19.1.2 y 19.2.1, y React insta a todos los usuarios a aplicar la solución lo antes posible. “Recomendamos actualizar inmediatamente”, dijo el equipo de React.
de acuerdo a registroReact tiene casi dos quintas partes de la capacidad de todos los entornos de nube, por lo que la superficie de ataque es grande, por decir lo menos. Facebook, Instagram, Netflix, Airbnb, Shopify y otros gigantes de la web actual confían en React, al igual que millones de otros desarrolladores.
Benjamin Harris, fundador y director ejecutivo del proveedor de herramientas de gestión de exposición watchTowr, dijo a la publicación que la falla “sin duda” será explotada en la naturaleza. De hecho, cree que el abuso es “inminente”, sobre todo ahora que se ha publicado el consejo.
Wiz pudo probar la falla y dice que “la explotación de esta vulnerabilidad tuvo alta fidelidad, una tasa de éxito cercana al 100% y puede explotarse para ejecutar código remoto completo”.
En otras palabras, ahora no es el momento de bajar el ritmo: corregir este error debería ser la prioridad de todos.
A través de registro
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como tu fuente predeterminada para recibir noticias, puntos de vista y opiniones de nuestros expertos en feeds. ¡Asegúrate de presionar el botón Continuar!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para recibir noticias, reseñas, unboxings en forma de video y recibir actualizaciones constantes de nuestra parte WhatsApp también
