Fecha de publicación: 04/12/2025
Nivel de peligrosidad: CRÍTICO
- El CCN-CERT recomienda a todas las organizaciones aplicar inmediatamente las actualizaciones publicadas por el fabricante y seguir todas sus indicaciones.
El CCN-CERT, perteneciente al Centro Criptológico Nacional, ha emitido una alerta sobre una vulnerabilidad crítica en el protocolo React Server Components (CVE-2025-55182) que afecta a React 19 y a los frameworks que lo utilizan, incluyendo Next.js. La explotación de esta vulnerabilidad podría permitir la ejecución remota de código sin necesidad de autenticación.
La compañía Meta ha publicado actualizaciones para las versiones 19.0.1, 19.1.2 y 19.2.1. Además, ha colaborado con diversos proveedores de alojamiento web para implementar medidas de mitigación temporales.
Vulnerabilidad y recursos afectados
| CVE | Nombre del producto | Versiones afectadas | Actualización |
|
CVE-2025-55182 |
React Server Components | 19.0.0, 19.1.0, 19.1.1 y 19.2.0 de los paquetes: -react-server-dom-webpack -react-server-dom-parcel -react-server-dom-turbopack |
19.0.1, 19.1.2 y 19.2.1. |
|
|
Next.js, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc y rwsdk | 15.x, 16.x, 14.3.0-canary.77 y versiones posteriores | 15.0.x 16.0.x |
Recomendaciones
El CCN-CERT recomienda a todas las organizaciones:
- Actualizar inmediatamente a las versiones corregidas de React (19.0.1, 19.1.2 o 19.2.1).
- Actualizar inmediatamente a las versiones corregidas de Next.js u otros frameworks basados en RSC.
Más información:
