Un grave fallo de seguridad acaba de sacudir el ecosistema de React y Next.js. La vulnerabilidad, conocida como “React2Shell”, permite que un atacante no autenticado ejecute código arbitrario en el servidor con solo enviar una petición HTTP especialmente manipulada.
La gravedad no es menor: la falla tiene una puntuación máxima de 10.0 en la escala CVSS (Common Vulnerability Scoring System).
¿Qué falla exactamente? – Deserialización insegura en RSC
El problema radica en cómo React procesa los “payloads” enviados a los endpoints de funciones de servidor (Server Function). Al usar el nuevo sistema de React Server Components (RSC), la librería decodifica datos entrantes de forma insegura. Si el payload está manipulado de forma adversa, puede “inyectar” código malicioso que termina ejecutándose en el servidor.
Aunque tu aplicación no use explícitamente funciones de servidor, puede estar en riesgo: basta con que tenga soporte para RSC para ser vulnerable.
¿Quiénes están afectados?
Estas versiones resultan vulnerables:
- Paquetes de React:
react-server-dom-webpack,react-server-dom-parcel,react-server-dom-turbopacken sus versiones 19.0, 19.1.0, 19.1.1 y 19.2.0. - Frameworks basados en React que usen RSC, siendo uno de los principales Vercel/Next.js – versiones >= 14.3.0-canary.77, todas las 15.x y 16.x.
Además, plug-ins, bundlers y frameworks que incorporan soporte RSC, como Vite RSC plugin, Parcel RSC plugin, RedwoodJS, Waku, entre otros, también resultan afectados.
Según datos de seguridad en la nube, hasta un 39% de los entornos cloud analizados podrían estar vulnerables.
Qué pueden hacer desarrolladores y administradores hoy mismo
- Actualizá ya mismo: las versiones parcheadas son React 19.0.1, 19.1.2 o 19.2.1. Para Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 o 16.0.7.
- Mientras actualizás, implementá reglas en tu firewall de aplicaciones web (WAF) si tenés. Muchas plataformas como Cloudflare ya liberaron protecciones temporales.
- Monitoréa el tráfico HTTP hacia funciones de servidor para detectar peticiones sospechosas o malformadas.
- Revisá todo el stack: incluso dependencias, bundlers o frameworks secundarios que usen RSC podrían ocultar la vulnerabilidad.
¿Por qué este bug conmueve al ecosistema web?
Porque ataca lo más básico: la confianza en los datos que recibe el servidor. Con un solo request malicioso, un atacante podría tomar control del servidor, inyectar código o incluso comprometer variables sensibles.
Además, el fallo afecta configuraciones por defecto, es decir, muchas apps creadas con herramientas estándar como create-next-app están en riesgo sin modificaciones.
Para muchas empresas y proyectos, eso implica un riesgo masivo: miles de servidores desplegados, vulnerables, y expuestos públicamente.
Este fallo en React/Next.js es un recordatorio severo de que incluso tecnologías modernas, diseñadas para simplificar desarrollo, pueden esconder trampas críticas. Si tu stack usa RSC, no lo pospongas: actualizá ya.
Además, aprovechá para revisar todo tu entorno: dependencias, bundlers, frameworks secundarios. La seguridad no es un check-list, es una práctica constante.
Mantener tus herramientas al día no es opcional, es la base para desarrollar con confianza.
Fuente: The Hacker News