El equipo de React tiene publicado correcciones para dos nuevos tipos de fallas en React Server Components (RSC) que, si se explotan con éxito, podrían provocar la denegación de servicio (DoS) o la exposición del código fuente.
El equipo dijo que la comunidad de seguridad encontró los problemas cuando intentaba aprovechar los parches publicados para el CVE-2025-55182 (puntuación CVSS: 10.0), un error crítico en RSC que desde entonces ha sido convertido en arma en estado salvaje .
Las tres vulnerabilidades se enumeran a continuación:
- CVE-2025-55184 (Puntuación CVSS: 7,5): una vulnerabilidad de denegación de servicio previa a la autenticación derivada de la deserialización insegura de las cargas útiles desde las solicitudes HTTP a los puntos finales de las funciones del servidor, lo que desencadena un bucle infinito que bloquea el proceso del servidor y puede impedir que se atiendan futuras solicitudes HTTP
- CVE-2025-67779 (Puntuación CVSS: 7,5): una solución incompleta para el CVE-2025-55184 que tiene el mismo impacto
- CVE-2025-55183 (Puntuación CVSS: 5.3): una vulnerabilidad de filtración de información que puede provocar que una solicitud HTTP diseñada específicamente y enviada a una función de servidor vulnerable devuelva el código fuente de cualquier función de servidor
Sin embargo, la explotación exitosa de CVE-2025-55183 requiere la existencia de una función de servidor que exponga explícita o implícitamente un argumento que se haya convertido a un formato de cadena.
Las fallas que afectan a las siguientes versiones de react-server-dom-parcel, react-server-dom-turbopack y react-server-dom-webpack -
- CVE-2025-55184 y CVE-2025-55183 - 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 y 19.2.1
- CVE-2025-67779 - 19.0.2, 19.1.3 y 19.2.2
A los investigadores de seguridad RyoTak y Shinsaku Nomura se les ha atribuido el mérito de denunciar los dos errores de DoS al programa Meta Bug Bounty, mientras que Andrew MacPherson ha sido reconocido por denunciar el error de filtración de información.
Se recomienda a los usuarios que actualicen a versiones 19.0.3, 19.1.4 y 19.2.3 lo antes posible, especialmente a la luz de la exploración activa del CVE-2025-55182.
«Cuando se descubre una vulnerabilidad crítica, los investigadores examinan las rutas de código adyacentes en busca de técnicas de explotación variantes para comprobar si se puede eludir la mitigación inicial», afirma el equipo de React. «Este patrón se repite en todo el sector, no solo en JavaScript. Las divulgaciones adicionales pueden resultar frustrantes, pero por lo general son una señal de un ciclo de respuesta saludable».