Akamai adquirirá LayerX para reforzar el control de uso de IA en cualquier navegador. Obtener detalles

CVE-2025-55182: React y Next.js: RCE de deserialización de funciones de servidor

Compartir

Resumen ejecutivo

Nuestros partners nos han notificado que gracias a una vulnerabilidad recientemente identificada, CVE-2025-55182, que afecta a varios marcos basados en React se ha detectado un defecto crítico en la forma en que el protocolo de funciones de servidor de React procesa las solicitudes entrantes de Flight. El equipo de Next.js publicó un documento informativo independiente, CVE-2025-66478, para realizar un seguimiento del impacto de esta vulnerabilidad.

No se ha observado ninguna explotación en el entorno de esta vulnerabilidad. Sin embargo, en Akamai hemos implementado una regla rápida del motor de seguridad adaptable para proteger a nuestros clientes de esta amenaza.

Detalles de la vulnerabilidad

El problema principal es la deserialización insegura, en la que las entradas controladas por el atacante se analizan y amplían sin validarlas o sanearlas correctamente. Tenga en cuenta lo siguiente: Esta vulnerabilidad no requiere autenticación, por eso es más fácil de explotar y más común.

Durante este proceso, el mecanismo de deserialización expande implícitamente las propiedades de los objetos, haciéndolos susceptibles a la contaminación de prototipos. Al inyectar claves maliciosas en el flujo de datos, un atacante puede manipular prototipos de objetos fundamentales, lo que altera el funcionamiento de las aplicaciones web en tiempo de ejecución.

Cuando esta primitiva se combina con rutas de ejecución específicas en los componentes de servidor React, el ataque se puede escalar para lograr la ejecución remota de código (RCE) en el servidor de destino. Este riesgo es especialmente grave para las aplicaciones web que dependen en gran medida de los componentes de servidor de React y del modelo de ejecución de funciones de servidor más amplio, donde los límites de confianza están estrechamente vinculados a los protocolos de serialización. (Puede encontrar más información en la entrada del blog publicada por el equipo de React).

La vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de:

  • react-server-dom-webpack

  • react-server-dom-parcel

  • react-server-dom-turbopack

Afecta a los siguientes marcos y paquetes:

  • next

  • react-router

  • waku

  • @parcel/rsc

  • @vitejs/plugin-rsc

  • rwsdk

Mitigación con Akamai App & API Protector

El 3 de diciembre de 2025, Akamai implementó una regla rápida del motor de seguridad adaptable para que los clientes de App & API Protector tuvieran una cobertura completa.

  • 3000976: Se ha detectado un ataque de ejecución remota de código de React (CVE-2025-55182)

Resumen

Se ha implementado una nueva regla en Akamai App & API Protector para proteger a nuestros clientes de esta amenaza. No obstante, la defensa más eficaz será siempre aplicar rápidamente los parches proporcionados por el proveedor. Dada la gravedad de este problema, los parches deberían aplicarse lo antes posible.

El grupo de inteligencia sobre seguridad de Akamai seguirá supervisando, informando y creando mitigaciones para amenazas de este tipo tanto para nuestros clientes como para la comunidad de seguridad en general. Para mantenerse al día con más noticias de última hora del grupo de inteligencia de seguridad de Akamai, consulte nuestra página de investigación y síganos en las redes sociales.

Etiquetas

Compartir

Entradas de blog relacionadas

Ciberseguridad
La L en Linux significa Movimiento Lateral
June 28, 2023
El movimiento lateral no es exclusivo de Windows. Repasemos los protocolos que se pueden utilizar en Linux para lograr el movimiento lateral, de modo que pueda protegerse.
Ciberseguridad
"Ya me tenías con el hola": la botnet NoaBot basada en Mirai entra en escena
January 10, 2024
Los investigadores de seguridad de Akamai han descubierto una nueva campaña de criptominería, NoaBot, que utiliza una botnet Mirai personalizada modificada por los atacantes.
Investigación
Mini Shai-Hulud: El gusano regresa y se hace público
Más información sobre el ataque a la cadena de suministro Shai-Hulud de 2026: descubra cómo TeamPCP utiliza el envenenamiento de caché de CI y el uso indebido de OIDC dentro de la carga útil maliciosa.