La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó formalmente el viernes una falla de seguridad crítica que afecta a los componentes del servidor React (RSC) a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de explotación activa en la naturaleza.
La vulnerabilidad, CVE-2025-55182 (Puntuación CVSS: 10,0), se relaciona con un caso de ejecución remota de código que podría ser desencadenada por un atacante no autenticado sin requerir ninguna configuración especial. También se rastrea como React2Shell.
«Meta React Server Components contiene una vulnerabilidad de ejecución remota de código que podría permitir la ejecución remota de código no autenticado al explotar una falla en la forma en que React decodifica las cargas útiles enviadas a los puntos finales de la función React Server», dijo CISA en un aviso.
El problema surge de una deserialización insegura en el protocolo Flight de la biblioteca, que React utiliza para comunicarse entre un servidor y un cliente. Como resultado, conduce a un escenario en el que un atacante remoto no autenticado puede ejecutar comandos arbitrarios en el servidor enviando solicitudes HTTP especialmente diseñadas.
«El proceso de convertir texto en objetos se considera ampliamente como una de las clases de vulnerabilidades de software más peligrosas», dijo Martin Zugec, director de soluciones técnicas de Bitdefender. «La vulnerabilidad de React2Shell reside en el paquete reaccionar-servidor, específicamente en cómo analiza las referencias de objetos durante la deserialización».
La vulnerabilidad se ha solucionado en las versiones 19.0.1, 19.1.2 y 19.2.1 de las siguientes bibliotecas:
- reaccionar-servidor-dom-webpack
- reaccionar-servidor-dom-parcel
- reaccionar-servidor-dom-turbopack
Algunos de los marcos posteriores que dependen de React también se ven afectados. Esto incluye: Next.js, React Router, Waku, Parcel, Vite y RedwoodSDK.
El desarrollo se produce después de que Amazon informara que observó intentos de ataque provenientes de infraestructura asociada con grupos de piratería chinos como Earth Lamia y Jackpot Panda pocas horas después de la divulgación pública de la falla. Coalition, Fastly, GreyNoise, VulnCheck y Wiz también informaron haber visto esfuerzos de explotación dirigidos a la falla, lo que indica que múltiples actores de amenazas están participando en ataques oportunistas.
 |
| Fuente de la imagen: GreyNoise |
Algunos de los ataques han implicado el despliegue de mineros de criptomonedas, así como la ejecución de comandos PowerShell de «matemáticas baratas» para determinar la explotación exitosa, seguidos de la ejecución de comandos para colocar descargadores en memoria capaces de recuperar una carga útil adicional de un servidor remoto.
Según los datos compartidos por la plataforma de gestión de superficies de ataque Censys, hay alrededor de 2,15 millones de instancias de servicios conectados a Internet que pueden verse afectados por esta vulnerabilidad. Esto comprende servicios web expuestos que utilizan componentes de React Server e instancias expuestas de marcos como Next.js, Waku, React Router y RedwoodSDK.
En una declaración compartida con The Hacker News, la Unidad 42 de Palo Alto Networks dijo que ha confirmado más de 30 organizaciones afectadas en numerosos sectores, con un conjunto de actividad consistente con un equipo de piratería chino rastreado como UNC5174 (también conocido como CL-STA-1015). Los ataques se caracterizan por el despliegue de SNOWLIGHT y VShell.
«Hemos observado escaneos en busca de RCE vulnerables, actividad de reconocimiento, intento de robo de archivos de configuración y credenciales de AWS, así como instalación de descargadores para recuperar cargas útiles de la infraestructura de comando y control del atacante», dijo Justin Moore, gerente senior de investigación de inteligencia sobre amenazas en la Unidad 42 de Palo Alto Networks.
El investigador de seguridad Lachlan Davidson, a quien se le atribuye haber descubierto e informado la falla, desde entonces ha lanzado múltiples exploits de prueba de concepto (PoC), lo que hace imperativo que los usuarios actualicen sus instancias a la última versión lo antes posible. Otro PoC funcional ha sido publicado por un investigador taiwanés que utiliza el identificador de GitHub maple3142.
De conformidad con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 26 de diciembre de 2025 para aplicar las actualizaciones necesarias para proteger sus redes.