Resumen ejecutivo
Nuestros partners nos han notificado que gracias a una vulnerabilidad recientemente identificada, CVE-2025-55182, que afecta a varios marcos basados en React se ha detectado un defecto crítico en la forma en que el protocolo de funciones de servidor de React procesa las solicitudes entrantes de Flight. El equipo de Next.js publicó un documento informativo independiente, CVE-2025-66478, para realizar un seguimiento del impacto de esta vulnerabilidad.
No se ha observado ninguna explotación en el entorno de esta vulnerabilidad. Sin embargo, en Akamai hemos implementado una regla rápida del motor de seguridad adaptable para proteger a nuestros clientes de esta amenaza.
Detalles de la vulnerabilidad
El problema principal es la deserialización insegura, en la que las entradas controladas por el atacante se analizan y amplían sin validarlas o sanearlas correctamente. Tenga en cuenta lo siguiente: Esta vulnerabilidad no requiere autenticación, por eso es más fácil de explotar y más común.
Durante este proceso, el mecanismo de deserialización expande implícitamente las propiedades de los objetos, haciéndolos susceptibles a la contaminación de prototipos. Al inyectar claves maliciosas en el flujo de datos, un atacante puede manipular prototipos de objetos fundamentales, lo que altera el funcionamiento de las aplicaciones web en tiempo de ejecución.
Cuando esta primitiva se combina con rutas de ejecución específicas en los componentes de servidor React, el ataque se puede escalar para lograr la ejecución remota de código (RCE) en el servidor de destino. Este riesgo es especialmente grave para las aplicaciones web que dependen en gran medida de los componentes de servidor de React y del modelo de ejecución de funciones de servidor más amplio, donde los límites de confianza están estrechamente vinculados a los protocolos de serialización. (Puede encontrar más información en la entrada del blog publicada por el equipo de React).
La vulnerabilidad está presente en las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
Afecta a los siguientes marcos y paquetes:
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Mitigación con Akamai App & API Protector
El 3 de diciembre de 2025, Akamai implementó una regla rápida del motor de seguridad adaptable para que los clientes de App & API Protector tuvieran una cobertura completa.
3000976: Se ha detectado un ataque de ejecución remota de código de React (CVE-2025-55182)
Resumen
Se ha implementado una nueva regla en Akamai App & API Protector para proteger a nuestros clientes de esta amenaza. No obstante, la defensa más eficaz será siempre aplicar rápidamente los parches proporcionados por el proveedor. Dada la gravedad de este problema, los parches deberían aplicarse lo antes posible.
El grupo de inteligencia sobre seguridad de Akamai seguirá supervisando, informando y creando mitigaciones para amenazas de este tipo tanto para nuestros clientes como para la comunidad de seguridad en general. Para mantenerse al día con más noticias de última hora del grupo de inteligencia de seguridad de Akamai, consulte nuestra página de investigación y síganos en las redes sociales.
Etiquetas
