Resumen ejecutivo
Nuestros partners nos han notificado un par de vulnerabilidades recientemente que están afectando a varios marcos basados en React.
Akamai ha implementado Akamai Adaptive Security Engine Rapid Rules para proteger a nuestros clientes de estas amenazas. En el caso de los clientes de Guardicore suscritos a Akamai Hunt, Akamai ha buscado e identificado activos vulnerables relevantes en los entornos de los clientes y ha proporcionado recomendaciones para proteger dichos activos.
Detalles de la vulnerabilidad
Se han encontrado dos nuevas vulnerabilidades en los marcos de trabajo de React Server Component (RSC):
- CVE-2025-55183 — Divulgación de información: Los atacantes pueden coaccionar argumentos en las funciones de servidor para filtrar el código fuente de solo el servidor si la entrada no se valida correctamente.
- CVE-2025-55184 — Denegación de servicio (DoS) a nivel de función: Las cargas especialmente diseñadas pueden bloquear servidores Node.js mediante la creación de recursión de promesa infinita y desconectar los servidores afectados.
Mitigación con Akamai App & API Protector
El 10 de diciembre de 2025, Akamai implementó Adaptive Security Engine Rapid Rules para los clientes de App & API Protector con el fin de proporcionar una cobertura completa:
3000977 — Vulnerabilidad de fuga de información en React detectada (CVE-2025-55183)
3000978 — Vulnerabilidad de denegación de servicio en React detectada (CVE-2025-55184)
Resumen
Akamai ha implementado nuevas reglas en App & API Protector para proteger a nuestros clientes de las vulnerabilidades recientemente reveladas que afectan a varios marcos basados en reacciones.
Los clientes de Akamai Hunt se benefician de una supervisión continua 24/7 para detectar vulnerabilidades nuevas y de gran gravedad, como esta, así como de recomendaciones específicas para la aplicación de parches virtuales a través de las capacidades de microsegmentación granular de Guardicore.
Los clientes de Guardicore con Insight pueden identificar activos vulnerables mediante la consulta adecuada:
SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack')
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')
UNION ALL
SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');Sin embargo, la defensa más eficaz siempre será la rápida aplicación de los parches proporcionados por el proveedor. Dada la gravedad de este problema, los parches deben aplicarse lo antes posible. Para obtener más información sobre la aplicación de parches, consulte las publicaciones del blog React y Next.js.
Manténgase informado
El grupo de inteligencia sobre seguridad de Akamai seguirá supervisando, informando y creando mitigaciones para amenazas de este tipo tanto para nuestros clientes como para la comunidad de seguridad en general. Para mantenerse al día con más noticias de última hora del grupo de inteligencia de seguridad de Akamai, consulte nuestra página de investigación y síganos en las redes sociales.
Etiquetas
