CVE-2025-55182 (React2Shell)
Fecha: 15 de diciembre de 2025
Nivel de Impacto: Crítico
CVE-2025-55182, conocido como React2Shell, es una vulnerabilidad crítica de ejecución remota de código en React Server Components (versiones 19.0.0 a 19.2.0) que afecta también a frameworks como Next.js, Waku, React Router y RedwoodSDK; el fallo se origina en una deserialización insegura del protocolo Flight y permite a atacantes comprometer servidores con un solo request HTTP manipulado, lo que ha derivado en más de 137.000 instancias vulnerables expuestas y en campañas activas de grupos vinculados a China como Earth Lamia y Jackpot Panda, quienes han desplegado malware (Snowlight, Vshell), botnets (Mirai, Gafgyt) y mineros de criptomonedas, además de robar credenciales y configuraciones de AWS; ante este escenario, Meta y Vercel han publicado parches, mientras que CISA y otros organismos recomiendan actualizar de inmediato, aplicar reglas de firewall, monitorear tráfico sospechoso y realizar auditorías de seguridad, ya que la magnitud de esta vulnerabilidad la convierte en una de las más graves del año y exige acción urgente para proteger aplicaciones modernas basadas en React.
