Se ha descubierto una vulnerabilidad de severidad crítica en la biblioteca React, que afecta el framework Next.js. Un actor malicioso podría ejecutar código arbitrario de forma remota en el servidor sin necesidad de autenticación.
Productos afectados
- React: versiones 19.0.0, 19.1.0, 19.1.1 y 19.2.0
- Next.js (App Router): versiones de las ramas 15.x y 16.x
- Next.js (Canary): versiones desde 14.3.0-canary.77 hasta anteriores a 15.6.0-canary.58
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-55182: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de deserialización insegura en el protocolo «Flight» utilizado por React Server Components. Un actor malicioso no autenticado podría enviar payloads especialmente manipuladas a los endpoints del servidor para lograr la ejecución remota de código.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-55182
- https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp