Next.js 13-16 CVSS 10 RCE en React Server Components

CVE-2025-55182 permite RCE sin autenticación mediante POST HTTP malicioso a endpoints de Server Function en React 19+, afectando Next.js 13-16. Los desarrolladores frontend deben aplicar parches inmediatamente o arriesgarse a un compromiso total del servidor sin credenciales.

Vulnerabilidades Críticas en React Server Components: Parchea RCE, DoS y Exposición de Código Fuente Ahora

Desarrolladores de React JS, especialmente aquellos que construyen con React 19+ y Next.js 13-16, enfrentan una crisis de seguridad urgente. El 13 de mayo de 2026, investigadores divulgaron tres vulnerabilidades de alta severidad en React Server Components (RSC): CVE-2025-55182 (CVSS 10 RCE), CVE-2025-55183 (exposición de código fuente) y CVE-2025-55184 (DoS). Estas fallas impactan paquetes como react-server-dom-webpack/parcel/turbopack 19.0.0-19.2.1 y versiones de Next.js 13x-16x, usados por millones de desarrolladores web frontend para apps escalables.

Resumen Ejecutivo: Qué Hace Críticas Estas Vulnerabilidades

CVE-2025-55182 es la más alarmante: una puntuación perfecta de 10/10 en CVSS para ejecución remota de código (RCE). Los atacantes pueden ejecutar código arbitrario en tu servidor Node.js con solicitudes HTTP POST sin autenticación a endpoints de Server Function. Sorprendentemente, esto funciona incluso si no usas Server Actions explícitamente, siempre que RSC esté habilitado.

CVE-2025-55183 filtra la lógica de Server Action y código fuente, exponiendo reglas de negocio propietarias o claves API. CVE-2025-55184 activa denegación de servicio (DoS) mediante bloqueos intensivos en CPU, paralizando servidores de producción. Frameworks afectados incluyen Vite, React Router, RedwoodSDK y más. Puntuación de noticia: 8/10 urgencia: parchea hoy para evitar brechas.

Como desarrollador web frontend que depende de React JS para desarrollo web personalizado, estos impactos socavan la promesa central de RSC: renderizado del lado del servidor sin hinchazón de JS del cliente. Las apps de producción están en riesgo ahora.

Guía de Parcheo Paso a Paso para React JS y Next.js

Actualiza inmediatamente. Aquí cómo para paquetes clave:

  1. React y react-server-dom: Ejecuta npm update react@19.2.2 react-dom@19.2.2 react-server-dom-webpack@19.2.2 (o 19.0.2+ para branches antiguas, 19.1.3+ para 19.1.x). Verifica con npm ls react-server-dom-webpack.
  2. Next.js: npm install next@14.2.35 (13.x), next@15.0.7 (15.x), o next@16.0.10 (16.x). Actualiza package.json:
{\ \\"dependencies\\": {\ \\"next\\": \\"^16.0.10\\"}