En los últimos días, la comunidad tecnológica ha sido sacudida por una vulnerabilidad crítica, no autenticada y explotable remotamente que afecta a millones de aplicaciones construidas con React Server Components (RSC) y frameworks basados en él, especialmente Next.js.

Estamos frente a un caso comparable a Log4J, tanto por su impacto como por la rapidez con la que los atacantes comenzaron a explotarlo.

Las vulnerabilidades registradas son:

• CVE-2025-55182 – React Server Components / Flight Protocol – RCE no autenticado
• CVE-2025-66478 – Integración RSC en Next.js – RCE no autenticado

Desde el 4 de diciembre ya hay explotación activa, incluyendo actividad vinculada a grupos de amenazas de origen chino.

🚨 ¿Qué es React2Shell / React4Shell?

React2Shell (también llamado React4Shell por la comunidad) es un fallo crítico dentro del Flight Protocol, el sistema que React utiliza para enviar datos entre servidor y cliente cuando se usan Server Components.

El problema está en cómo el servidor deserializa los datos entrantes. Un atacante puede enviar un payload malicioso a las rutas expuestas de RSC y conseguir:

✔️ Ejecución remota de código (RCE)

✔️ Sin autenticación

✔️ De forma fiable

✔️ En servidores de producción expuestos a internet

En otras palabras: si tu aplicación usa Server Components y no está parcheada, un atacante puede tomar control de tu servidor.

🌍 ¿Por qué esta vulnerabilidad es tan grave?

1️⃣ React + Next.js dominan el internet

Shodan muestra:

• 584,000+ aplicaciones React expuestas
• 750,000+ aplicaciones Next.js indexadas

Es un ataque de superficie masiva.

2️⃣ El vector es muy fácil de explotar

Los PoCs se publicaron a las pocas horas del anuncio. Algunos son tan simples que consisten en una sola petición POST.

3️⃣ No requiere credenciales

Cualquier endpoint vulnerable accesible desde la web puede ser explotado.

4️⃣ Se parece demasiado a Log4J

• Framework-level
• Internet-facing
• Mass scanning en horas
• Exploit sin interacción
• Escalación a cloud pivot

5️⃣ Ya existe explotación real

AWS, Fastly y diversos equipos de threat intelligence han confirmado actividad de:

• Earth Lamia
• Jackpot Panda
• Otros grupos orientados a escaneo masivo

🧪 ¿Estoy afectado?

Estás afectado si:

✔ Usas React 19 con Server Components

✔ Usas Next.js 15 o 16 (App Router)

✔ Usas React Server Actions

✔ Tienes endpoints RSC expuestos al público

Versiones vulnerables confirmadas:

React (CVE-2025-55182)

• ❌ 19.0.0
• ❌ 19.1.0
• ❌ 19.1.1
• ❌ 19.2.0

React versiones corregidas:

• ✔ 19.0.1
• ✔ 19.1.2
• ✔ 19.2.1

Next.js (CVE-2025-66478)

• ❌ Todas las versiones 15.x
• ❌ Todas las versiones 16.x
• ❌ App Router 14.3.0-pre

Versiones corregidas:

• ✔ 15.0.5
• ✔ 15.1.9
• ✔ 15.2.6
• ✔ 15.3.6
• ✔ 15.4.8
• ✔ 15.5.7
• ✔ 16.0.7

🛑 ¿Qué puede hacer un atacante después de explotar React2Shell?

Una vez dentro, el atacante puede:

• Leer variables de entorno (API keys, DB passwords, JWT secrets)
• Acceder al metadata service de AWS/GCP (y robar roles temporales)
• Modificar archivos del servidor
• Instalar puertas traseras
• Acceder a bases de datos internas
• Pivotar hacia otros servicios dentro de la nube

Esto convierte un simple RCE en un incidente cloud severo.

⚙️ ¿Cómo explotan esta vulnerabilidad?

Un “payload Flight” malicioso enviado a endpoints como:

/_next/server-actions
/_flight
/route.js

Puede lograr que React RSC ejecute código del atacante.

PoCs públicos ya permiten lanzar comandos directamente en el servidor, por ejemplo:

curl -X POST https://tuapp.com/_flight -d '@payload_malicioso.txt'

Muchos PoCs subidos en Github son falsos, pero hay PoCs reales confirmados y funcionales.

🔧 Cómo protegerte (acciones inmediatas)

✅ 1. Parchear ya

Actualiza React y Next.js a las versiones corregidas:

npm install react@19.1.2 react-dom@19.1.2 react-server-dom-webpack@19.1.2
npm install next@15.5.7   # ejemplo de línea parcheada

Verifica:

npm ls react react-dom react-server-dom-webpack next

✅ 2. Asegurar tu entorno de producción

Revisar:

• Tu aplicación corre realmente la versión parcheada (no confíes en el repo, confirma el bundle final)
• Endpoints expuestos
• Logs entre 3 y 5 de diciembre

✅ 3. Implementar un WAF temporal

AWS, Fastly y GCP han publicado protecciones inmediatas.

Si usas AWS WAF, añade un custom rule como la siguiente:

Bloquear POST maliciosos hacia Server Actions:

RegexString: "(?i)(?:next-action|rsc-action-id)"

Y reglas para detectar patrones Flight:

RegexString: "\"status\"\\s*:\\s*\"resolved_model\""

Esto no es el fix, pero reduce riesgo.

🔍 4. Rotar secretos si sospechas actividad

Si ves tráfico extraño hacia endpoints RSC, considera:

• Rotar claves
• Regenerar tokens JWT
• Invalidar sesiones
• Revisar permisos del IAM role usado por el servidor

📊 ¿Qué hemos visto en el mundo real?

• Aumento masivo de escaneos de bots entre las 21:00 y 23:00 GMT del 4 de diciembre
• Intentos de explotación desde múltiples regiones
• PoCs funcionales integrados en herramientas automáticas
• Escaneos identificados por Fastly, Vercel y Cloudflare

🧠 Conclusión: Este incidente marca un antes y un después en la seguridad del ecosistema React/Next.js

React y Next.js son la columna vertebral del desarrollo moderno. Una vulnerabilidad crítica en su capa de servidor crea un riesgo global.

Lo más importante:

• Parches ya disponibles
• Explotación confirmada
• Superficie de ataque masiva
• Impacto comparable a Log4J

En datalus.mx estaremos monitoreando nuevos hallazgos, PoCs, reglas WAF optimizadas y guías de mitigación.

📌 Si necesitas ayuda auditando tu proyecto, podemos hacerlo

En Datalus Cloud Security te ayudamos a:

• Identificar si tu aplicación React/Next.js está vulnerable
• Implementar parches y mitigaciones
• Revisar logs en busca de intentos de explotación
• Configurar WAF en AWS, GCP o Cloudflare
• Hacer hardening de tu infraestructura

Contáctanos en:

👉 https://www.datalus.mx/contact

👉 direccion@datalus.mx

Fuentes:

Critical Security Vulnerability in React Server Components