Se han publicado actualizaciones de seguridad que resuelven tres vulnerabilidades, dos de las cuales tienen una severidad “alta”, en React Server Components. Tales vulnerabilidades, si se explotan, podrían permitir a un actor malicioso comprometer la disponibilidad del servicio en los sistemas en cuestión.
Productos y versiones afectadas
React
• 19.0.x, versiones anteriores a 19.0.1
• 19.1.x, versiones anteriores a 19.1.2
• 19.2.x, versiones anteriores a 19.2.1
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
• CVE-2025-55184: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio previa a la autenticación en React Server Components en las versiones 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 y 19.2.1, incluyendo los siguientes paquetes: react-server-dom-parcel, react-server-dom-turbopack y react-server-dom-webpack. El código vulnerable deserializa de manera insegura las cargas útiles de las solicitudes HTTP a los puntos finales de la función del servidor, lo que puede causar un bucle infinito que cuelga el proceso del servidor y podría evitar que se cumplan futuras solicitudes HTTP.
• CVE-2025-67779: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en el mecanismo de corrección de CVE-2025-55184 en React Server Components que estaba incompleto y no impide un ataque de denegación de servicio en un caso específico. Las versiones 19.0.2, 19.1.3 y 19.2.2 de React Server Components se ven afectadas, lo que podría permitir la deserialización insegura de las cargas útiles de las solicitudes HTTP a los puntos finales de la función del servidor. Esto puede causar un bucle infinito que cuelga el proceso del servidor y podría evitar que se cumplan futuras solicitudes HTTP.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2025-55184
https://nvd.nist.gov/vuln/detail/CVE-2025-67779