Se ha descubierto una falla de seguridad de máxima gravedad en React Server Components (RSC) que, si se explota correctamente, podría provocar la ejecución remota de código.
La vulnerabilidad, rastreada como CVE-2025-55182, tiene una puntuación CVSS de 10,0.
Permite «la ejecución remota de código sin autenticar al explotar una falla en la forma en que React decodifica las cargas útiles enviadas a los puntos finales de React Server Function», dijo el equipo de React dijo en una alerta emitida hoy.
«Incluso si tu aplicación no implementa ningún punto final de React Server Function, aún puede ser vulnerable si tu aplicación es compatible con React Server Components».
Según una empresa de seguridad en la nube Mago , el problema es un caso de deserialización lógica que se debe al procesamiento de cargas útiles de RSC de manera insegura. En consecuencia, un atacante no autenticado podría crear una solicitud HTTP malintencionada dirigida a cualquier punto final de la función del servidor que, cuando React lo deserialice, logre la ejecución de código JavaScript arbitrario en el servidor.
La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Se ha abordado en las versiones 19.0.1, 19.1.2 y 19.2.1. Investigador de seguridad con sede en Nueva Zelanda Lachlan Davidson se le atribuye el descubrimiento y la notificación de la falla el 29 de noviembre de 2025.
Vale la pena señalar que la vulnerabilidad también afecta Next.js mediante App Router. El problema ha sido asignado el identificador CVE CVE-2025-66478 (puntuación CVSS: 10,0). Afecta a las versiones >=14.3.0-canary.77, >=15 y >=16. Las versiones parcheadas son las 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 y 15.0.5.
Dicho esto, es probable que cualquier biblioteca que agrupe RSC se vea afectada por la falla. Esto incluye, pero no se limita a, el complemento Vite RSC, el complemento Parcel RSC, la vista previa de React Router RSC, RedwoodJS y Waku.
Wiz dijo que el 39% de los entornos de nube tienen instancias vulnerables a CVE-2025-55182 y/o CVE-2025-66478. En vista de la gravedad de la vulnerabilidad, se recomienda a los usuarios aplicar las correcciones lo antes posible para una protección óptima.