2. Ejecución Remota de Código en React Server Components (RSC) en React y Next.js (CVE-2025-55182)

Ejecución Remota de Código en React Server Components (RSC) en React y Next.js (CVE-2025-55182)

Fecha de publicación: Lun, 08/12/2025 - 09:30

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad surge por un error en la validación y deserialización de entradas HTTP dentro de React Server Components (RSC). Un atacante remoto puede enviar datos maliciosos especialmente diseñados, logrando ejecutar código arbitrario en el servidor afectado.
Entre las características más preocupantes:

  • No requiere autenticación.
  • Se explota enviando requests al servidor que usa RSC.
  • Permite tomar control total del servidor, desplegar shells, exfiltrar datos o pivotar dentro de la red.
  • Ha sido weaponizada pocas horas después de su divulgación pública.
  • Actores como Earth Lamia y Jackpot Panda ya han realizado campañas activas de explotación.
  • CISA la ha incluido en el catálogo de vulnerabilidades explotadas de forma conocida.

Recursos afectados

  • Aplicaciones basadas en React 19.0.0, 19.1.0, 19.1.1, 19.2.0
  • Paquetes vulnerabl react-server-dom-*
  • Frameworks que usan RSC, principalmente:
  • Next.js versiones 15.x, 16.x, y algunos canary de 14.x
  • Infraestructuras cloud que despliegan entornos React/Next.js sin WAF o reglas de seguridad adicionales.
  • Servidores Node.js expuestos a internet y que renderizan componentes a través de RSC.

Solución/Mitigación

Parcheo inmediato (medida principal):

  • Actualizar React a versiones 19.0.1, 19.1.2 o 19.2.1 (o posterior).
  • Actualizar Next.js y todo bundler que utilice RSC a sus versiones corregidas.

Mitigaciones adicionales:

  • Implementar reglas WAF para bloquear payloads sospechosos asociados a React2Shell.
  • Revisar logs y tráfico en busca de deserialización anómala o requests inesperados.
  • Aislar servidores vulnerables del perímetro externo mientras se aplican los parches.
  • Escanear containers, imágenes, dependencias y pipelines CI/CD en busca de versiones vulnerables.

Indicadores de compromiso

Entre los indicadores públicos reportados en campañas activas se encuentran:

Actividad sospechosa relacionada con CVE-2025-55182:

  • Requests HTTP con payloads no estándar dirigidos a rutas RSC.
  • Aparición de archivos no reconocidos (webshells) en /tmp, /var/www, o directorios del proyecto React/Next.
  • Procesos Node.js ejecutando comandos externos (bash, powershell, curl, wget).
  • Conexiones salientes hacia infraestructura asociada a Earth Lamia o Jackpot Panda.

Advertencia interna solicitada (muy importante):

Si encuentran en cualquier servidor o aplicación:

  • Usuario sospechoso: gambito
  • IP detectada: 10.5.4.49

** ⇒ Se debe activar alerta ROJA y ejecutar las acciones inmediatas:**

  1. Cambiar todas las contraseñas de los usuarios afectados de manera inmediata.
  2. Actualizar reglas del SIEM / IDS / WAF para monitorear cualquier actividad relacionada.
  3. Revisar accesos SSH/Node/Next.js asociados a ese usuario o esa IP.
  4. Verificar si el atacante desplegó puertas traseras, claves SSH o procesos persistentes.
  5. Aislar el host o contenedor si se confirma actividad maliciosa.

Recomendaciones

  • Aplicar parches sin demora.
  • Implementar doble factor de autenticación (2FA) para cuentas de administración.
  • Activar monitoreo continuo para endpoints Node.js y solicitudes HTTP anómalas.
  • Configurar un WAF con protección para RCE y deserialización.
  • Mantener inventario de dependencias actualizado.
  • Realizar un barrido de integridad y analizar hashes de archivos para detectar inserciones maliciosas.
  • Revisar logs desde el 3 de diciembre de 2025 en adelante (inicio de explotación masiva).

Referencias

AWS

Bitdefender