Actualidad CCN

CCN-CERT AV 03/25 Vulnerabilidad crítica en React y frameworks asociados

Fecha de publicación: 04/12/2025

Nivel de peligrosidad: CRÍTICO

  • El CCN-CERT recomienda a todas las organizaciones aplicar inmediatamente las actualizaciones publicadas por el fabricante y seguir todas sus indicaciones.

El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de una vulnerabilidad crítica en el protocolo React Server Components (CVE-2025-55182) que afecta a React 19 y a los frameworks que lo utilizan, incluido Next.js. La explotación de esta vulnerabilidad podría permitir la ejecución remota de código, sin necesidad de autenticación.

La compañía Meta ha publicado la actualización de las versiones 19.0.1, 19.1.2 y 19.2.1. Además, ha colaborado con varios proveedores de alojamiento web para aplicar medidas de mitigación temporales.

Vulnerabilidad y recurso afectado

CVE Nombre del producto Versiones afectadas Actualización

CVE-2025-55182

React Server Components 19.0.0, 19.1.0, 19.1.1 y 19.2.0 de los paquetes: -react-server-dom-webpack
-react-server-dom-parcel
-react-server-dom-turbopack
19.0.1, 19.1.2 y 19.2.1.

  

Next.js, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc y rwsdk 15.x, 16.x, 14.3.0-canary.77 y versiones posteriores 15.0.x
16.0.x

Recomendaciones

El CCN-CERT recomienda a todas las organizaciones:

  • Actualizar inmediatamente a las versiones corregidas de React (19.0.1, 19.1.2 o 19.2.1).
  • Actualizar inmediatamente a las versiones corregidas de Next.js u otros frameworks basados en RSC.

Más información: