Cisco ha publicado esta semana un aviso de seguridad para alertar sobre una vulnerabilidad crítica en aplicaciones construidas con React Server Components y Next.js, rastreada como CVE-2025-55182. El fallo, con puntuación CVSS 10.0 (máxima), permite la ejecución remota de código (RCE) sin autenticación en servidores que utilicen determinadas versiones de estos frameworks.
Cisco ha incorporado a su portal de Cisco Security Advisories el boletín «Remote Code Execution Vulnerability in React and Next.js Frameworks: December 2025», clasificado como Crítico y asociado al identificador CVE-2025-55182. En este aviso, Cisco resume el problema y remite al advisory oficial de React, recordando a sus clientes la importancia de parchear de inmediato cualquier carga de trabajo basada en React y Next.js desplegada sobre su infraestructura.
Distintos informes de empresas de seguridad y de proveedores cloud estiman que hasta un 40% de los entornos cloud tienen instancias de React o Next.js potencialmente vulnerables, y que una parte importante de estas aplicaciones son públicas y expuestas a Internet.
En las últimas horas, varios equipos de «threat intelligence» han alertado de intentos de explotación activa por parte de grupos vinculados a China, como Earth Lamia y Jackpot Panda, que estarían aprovechando CVE-2025-55182 (también conocida como «React2Shell» o «React4Shell«) para comprometer aplicaciones web y servicios en la nube.
Productos Afectados
La empresa Cisco ha publicado recientemente un aviso de seguridad sobre sus productos afectados:
| Producto afectado – Vulnerabilidad | Riesgo | CVE |
|---|---|---|
| React Server Components (React 19 – paquetes react-server-dom-*) Deserialización insegura en el protocolo Flight que permite ejecución remota de código sin autenticación. |
Crítico (CVSS 10.0 según NVD) | CVE-2025-55182 |
| Aplicaciones Next.js (versiones 15.x y 16.x con App Router y soporte RSC) Exposición a RCE no autenticado al reutilizar los componentes y paquetes vulnerables de React Server Components. |
Crítico (CVSS 10.0 según NVD) | CVE-2025-55182 CVE-2025-66478 (marcado como duplicado) |
| Otros frameworks y SDK basados en RSC (por ejemplo, React Router RSC preview, Redwood SDK, Waku, plugins RSC para Vite y Parcel) Heredan el mismo fallo de deserialización en el protocolo Flight. |
Crítico (CVSS 10.0 según NVD) | CVE-2025-55182 |
Solución
Cisco recomienda seguir las indicaciones de los propios proyectos React y Next.js y actualizar de inmediato a las versiones corregidas publicadas el 3 de diciembre de 2025, así como desplegar de nuevo las aplicaciones tras la actualización para asegurarse de que todas las dependencias quedan parcheadas.
En resumen, las medidas principales son:
- Actualizar React y RSC: Migrar a las versiones de React 19 que ya incluyen la corrección de CVE-2025-55182, según el advisory oficial del proyecto.
- Actualizar Next.js y frameworks asociados: Actualizar Next.js a las versiones marcadas como seguras por Vercel para mitigar el impacto de la vulnerabilidad en aplicaciones con App Router y React Server Components.
- Reforzar la protección perimetral: Aplicar reglas específicas en WAF o firewalls de aplicaciones para detectar y bloquear patrones conocidos de explotación de React2Shell mientras se completa el ciclo de parcheo. Cisco, al igual que otros proveedores, recomienda estas medidas como mitigación temporal.
- Inventario y escaneo de activos: Utilizar herramientas de descubrimiento y escaneo (incluido el nuevo escáner publicado por distintos investigadores) para localizar endpoints RSC expuestos y dependencias vulnerables en todo el entorno.
Más información:
Cisco Security Advisory – Remote Code Execution Vulnerability in React and Next.js Frameworks: December 2025: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-react-flight-TYw32Ddb
React – Critical Security Vulnerability in React Server Components: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Vercel / Next.js – Resumen y parches de CVE-2025-55182: https://vercel.com/changelog/cve-2025-55182
NVD – Detalle técnico de CVE-2025-55182 y CVE-2025-66478: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-55182 y https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-66478
Wiz (Critical Vulnerabilities in React and Next.js: everything you need to know): https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
La entrada Cisco publica un aviso de seguridad sobre una vulnerabilidad crítica de ejecución remota en React y Next.js (CVE-2025-55182) se publicó primero en Una Al Día.
