React2Shell: la vulnerabilidad CVSS 10.0 que está siendo explotada activamente en aplicaciones React y Next.js

Una nueva vulnerabilidad de ciberseguridad crítica en React Server Components (RSC) está siendo aprovechada activamente por múltiples grupos de amenaza apenas días después de su divulgación pública. Identificada como CVE-2025-55182 y apodada React2Shell, esta falla alcanza la puntuación máxima de 10.0 en la escala CVSS y permite la ejecución remota de código sin autenticación.

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) agregó formalmente esta vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 6 de diciembre de 2025, después de confirmar explotación activa en entornos reales.

¿Qué es React2Shell y por qué es tan peligrosa?

React2Shell explota una falla fundamental en cómo React decodifica las cargas útiles (payloads) enviadas a los endpoints de React Server Functions. Según el equipo de React, incluso las aplicaciones que no implementan explícitamente endpoints de Server Functions pueden estar en riesgo si utilizan React Server Components.

El mecanismo técnico del ataque

La vulnerabilidad reside en el manejo inseguro de payloads serializados en el protocolo React Flight, que React utiliza para la comunicación entre servidor y cliente. Específicamente, el problema se encuentra en la función requireModule dentro del paquete react-server-dom-webpack.

Los investigadores de Upwind, Avital Harel y Guy Gilad, explican que un atacante puede explotar la falla mediante:

1. Creación de un payload malicioso en una solicitud HTTP POST
2. Activación de una «Server Action» utilizando vm.runInThisContext
3. Ejecución de código JavaScript arbitrario en el servidor con los privilegios del proceso Node.js

Martin Zugec, director de soluciones técnicas en Bitdefender, señala que «el proceso de convertir texto en objetos es ampliamente considerado una de las clases más peligrosas de vulnerabilidades de software. La vulnerabilidad React2Shell reside específicamente en cómo analiza las referencias de objetos durante la deserialización.»

¿Por qué Next.js amplifica el riesgo?

Un aspecto crítico que transforma esta vulnerabilidad de un problema teórico a una superficie de ataque real es que Next.js expone los endpoints vulnerables de React Flight reply server. Como explican los investigadores de Upwind:

«Estos endpoints aceptan payloads Flight estructurados directamente desde el navegador. Esto significa que cualquier persona en internet puede enviar una solicitud, adjuntar su propio stream Flight, y confiar en que Next.js lo enviará al deserializador de React. Una vez que esto sucede, el código vulnerable maneja el payload exactamente como si viniera de un cliente confiable.»

Alcance e impacto: los números alarmantes

Versiones afectadas

Paquetes React afectados (versiones 19.0, 19.1.0, 19.1.1, 19.2.0):

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

Versiones parcheadas: 19.0.1, 19.1.2, y 19.2.1

Next.js afectado:

• Versiones >=14.3.0-canary.77, >=15, y >=16
• Versiones parcheadas: 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, y 15.0.5

Otros frameworks vulnerables:

• Vite RSC plugin
• Parcel RSC plugin
• React Router RSC preview
• RedwoodJS
• Waku

Exposición global

Según datos de múltiples firmas de seguridad:

• Censys: Aproximadamente 2.15 millones de instancias de servicios expuestos a internet pueden estar afectados
• Palo Alto Networks Unit 42: Más de 968,000 servidores identificados ejecutando frameworks modernos como React y Next.js
• Wiz: El 45% de los entornos cloud y código tienen al menos una instancia vulnerable de React; 12% exponen aplicaciones vulnerables a internet
• Shadowserver Foundation: 28,964 direcciones IP vulnerables detectadas al 7 de diciembre de 2025 (reducción desde 77,664 el 5 de diciembre)

Explotación activa: la amenaza es real

Adición al catálogo KEV de CISA

El 6 de diciembre de 2025, CISA añadió CVE-2025-55182 a su catálogo KEV tras confirmar explotación activa. Bajo la Directiva Operativa Vinculante (BOD) 22-01, las agencias federales tienen hasta el 26 de diciembre de 2025 para aplicar las actualizaciones necesarias.

Actores de amenaza identificados

Amazon reportó intentos de ataque originados desde infraestructura asociada con grupos de hacking chinos como:

• Earth Lamia
• Jackpot Panda

Palo Alto Networks Unit 42 confirmó actividad consistente con:

• UNC5174 (también conocido como CL-STA-1015), caracterizado por el despliegue de SNOWLIGHT y VShell

Campañas de explotación observadas

Las empresas de seguridad han documentado múltiples vectores de ataque:

1. Ataques oportunistas:

• Despliegue de mineros de criptomonedas
• Botnet RondoDox expandiendo su arsenal
• Distribución de Mirai

2. Reconocimiento y robo de credenciales:

• Comandos PowerShell de «cheap math» para verificar explotación exitosa
• Robo de archivos de configuración y credenciales de AWS
• Harvesting agresivo de secretos

3. Ataques sofisticados y persistentes:

• Backdoors utilizando implantes Sliver
• Cobalt Strike
• Noodle RAT (también conocido como ANGRYREBEL) – backdoor multiplataforma
• Web shells interactivos en memoria
• Payloads de descarga in-memory para evitar detección

Según VulnCheck CTO Jacob Baines: «Hasta ahora, no estamos viendo los payloads complicados como web shells/reverse shells en memoria. Generalmente, cuando un atacante quiere obtener ejecución, parece que solo vemos la descarga de payloads secundarios y su ejecución.»

Indicadores de compromiso

Wiz reporta que el 0.4% de los entornos cloud muestran indicadores críticos de compromiso relacionados con React2Shell.

La naturaleza única de esta vulnerabilidad

Justin Moore de Palo Alto Networks Unit 42 explica por qué esta falla es particularmente peligrosa:

«Esta falla recién descubierta es una amenaza crítica porque es un exploit de llave maestra, que tiene éxito no al bloquear el sistema, sino al abusar de su confianza en las estructuras de datos entrantes. El sistema ejecuta el payload malicioso con la misma confiabilidad que el código legítimo porque opera exactamente como se pretende, pero con entrada maliciosa.»

La distinción crítica, según Unit 42, es que se trata de una falla lógica determinista en el protocolo Flight, no un error probabilístico. A diferencia de bugs de corrupción de memoria que pueden fallar, esta falla garantiza la ejecución, convirtiéndola en un bypass confiable para todo el sistema.

Vectores de ataque y requisitos mínimos

Múltiples firmas de seguridad (Endor Labs, Miggo Security, VulnCheck) enfatizan que:

• No se requiere configuración especial para weaponizar la falla
• Explotable sin autenticación y sobre HTTP
• Solo se necesita acceso de red para enviar una solicitud HTTP manipulada
• Afecta configuraciones predeterminadas de frameworks

Ben Stav de Miggo explica los detalles técnicos: «Un ataque real necesita un payload multipart/form-data más operadores específicos del protocolo Flight ($@, $B, $n). Estos operadores permiten a los atacantes contrabandear valores inesperados a través del analizador de solicitudes RSC.»

Medidas de prevención y mitigación

Acción inmediata requerida

1. Actualizar inmediatamente a las versiones parcheadas
2. Prioridad máxima dado que se trata de explotación activa confirmada

Medidas temporales mientras se aplican parches

• Desplegar reglas de Web Application Firewall (WAF) si están disponibles
• Monitorear tráfico HTTP a endpoints de Server Functions en busca de solicitudes sospechosas o malformadas
• Considerar restringir temporalmente el acceso de red a aplicaciones afectadas

Proveedores con protección implementada

Los siguientes proveedores han desplegado reglas de protección:

• Cloudflare: Protección activa en WAF cloud para todos los clientes (planes gratuitos y pagos) siempre que el tráfico de la aplicación React esté proxiado
• Akamai
• Amazon Web Services (AWS)
• Fastly
• Google Cloud

Pruebas de concepto públicas

El investigador de seguridad Lachlan Davidson, quien descubrió y reportó la falla a Meta el 29 de noviembre de 2025, ha publicado múltiples exploits de prueba de concepto (PoC). Otro PoC funcional ha sido publicado por el investigador taiwanés conocido como maple3142 en GitHub.

La disponibilidad pública de estos exploits aumenta significativamente el riesgo de explotación masiva.

Análisis post-explotación

Cale Black de VulnCheck explica por qué la historia post-explotación de React2Shell es particularmente preocupante:

«La historia post-explotación para React2Shell es casi perfecta: una única solicitud difícil de detectar que resulta en manipulación directa del runtime activo en memoria, permitiendo manipulación compleja del estado del servidor back-end y acceso a acciones arbitrarias del runtime JavaScript.

Esto es excelente para los atacantes porque significa que pueden trabajar sin tocar el disco; también permite el staging de payloads de siguiente paso incluso en entornos sin discos escribibles, lo que disminuye enormemente la probabilidad de dejar artefactos.»

Cronología del incidente

• 29 de noviembre de 2025: Lachlan Davidson reporta la vulnerabilidad a Meta
• 3 de diciembre de 2025: Divulgación pública de CVE-2025-55182
• Horas después: Amazon detecta primeros intentos de explotación
• 5 de diciembre de 2025: Shadowserver detecta 77,664 IPs vulnerables
• 6 de diciembre de 2025: CISA añade la vulnerabilidad al catálogo KEV
• 7 de diciembre de 2025: Reducción a 28,964 IPs vulnerables detectadas

Conclusiones y recomendaciones

React2Shell representa una de las vulnerabilidades más críticas del año en el ecosistema JavaScript. Su combinación de:

1. Puntuación CVSS máxima (10.0)
2. Explotación sin autenticación
3. Amplia superficie de ataque (millones de instancias potencialmente vulnerables)
4. Explotación activa confirmada por múltiples actores de amenaza
5. Garantía de ejecución (no probabilística)

La hace una amenaza de prioridad absoluta para cualquier organización que ejecute aplicaciones React o Next.js.

Acción requerida: Si tu organización utiliza React 19.x o Next.js, la actualización a las versiones parcheadas debe ser tratada como una emergencia de seguridad de máxima prioridad.

¿Te pareció útil este artículo?

Si te pareció util este artículo, ¡te invitamos a compartirlo con personas que podrían verse beneficiadas al leerlo!