Una falla crítica en React Server Components, conocida como React2Shell (CVE-2025-55182), abrió la puerta a ataques masivos, dejó expuestos a millones de servidores y forzó medidas de emergencia que generaron una nueva interrupción general en servicios de Cloudflare.
A finales de la semana recién pasada se hizo pública una vulnerabilidad crítica en React Server Components que permite ejecución remota de código sin autenticación. El fallo, identificado como CVE-2025-55182 y bautizado como React2Shell, afecta a versiones ampliamente utilizadas de los paquetes de RSC, y se activa mediante solicitudes HTTP especialmente diseñadas contra endpoints asociados a Server Functions. Su gravedad fue catalogada con puntuación CVSS 10, el máximo posible, lo que encendió las alertas en todo el ecosistema web.
De acuerdo a un informe de investigadores de la firma Wiz, vulnerabilidad no sólo impacta a las aplicaciones que usan explícitamente Server Functions, también deja expuestas aquellas que, aun sin activarlas, soportan React Server Components. El alcance aumentó aún más al confirmarse que Next.js heredaba la falla a través de su App Router. Aunque inicialmente se le asignó un CVE específico, terminó considerándose un duplicado, ya que el origen del problema reside directamente en React.
A las pocas horas de su divulgación pública comenzaron a circular pruebas de concepto plenamente funcionales, y los expertos detectaron rápidamente intentos de explotación activos. Entre los hallazgos más preocupantes estuvo la identificación de operaciones ofensivas por parte de grupos vinculados al Estado chino, que habrían comenzado a explotar React2Shell casi inmediatamente. Entre las organizaciones señaladas figuran agrupaciones conocidas por campañas persistentes contra infraestructuras tecnológicas críticas.
Evaluaciones de riesgo realizadas por distintos equipos técnicos estimaron que alrededor del 39 % de las instalaciones basadas en React o Next.js en entornos cloud utilizan versiones vulnerables. Esta proporción sitúa a millones de servidores dentro del potencial de explotación, lo que incrementó el volumen de escaneo automatizado en Internet dirigido a endpoints compatibles con React Server Components.
Ante la situación, los desarrolladores de React liberaron parches de emergencia para corregir la falla en las versiones 19.0.1, 19.1.2 y 19.2.1. En paralelo, otros proveedores de servicios en la nube también activaron reglas temporales de firewall y monitoreo reforzado para contener la amenaza mientras se hacía una llamado a sus usuarios para aplicar las actualizaciones necesarias.
En el último caso se encuentra Cloudflare, quienes el pasado viernes aplicaron reglas de mitigación para bloquear patrones de explotación asociados a React2Shell. Sin embargo, la activación de estas reglas generó efectos no deseados, ya que múltiples sitios protegidos por la plataforma comenzaron a devolver errores “500 Internal Server Error”. El incidente se extendió durante varias horas y afectó a servicios que dependen del procesamiento intermediado por la red de distribución de Cloudflare, e hizo recordar la interrupción global de hace dos semanas atrás. La compañía informó posteriormente que el origen de la interrupción estuvo directamente relacionado con las medidas aplicadas contra la vulnerabilidad.
A pesar de la disponibilidad de parches, se mantienen numerosos entornos sin actualizar. Las herramientas de escaneo automatizado continúan incorporando la vulnerabilidad en sus rutinas, lo que mantiene abierto el riesgo para aplicaciones que aún ejecutan versiones anteriores.