React Server Components fueron la estrella en todas las conferencias el año pasado. Renderizado del lado del servidor impecable, hidratación sin configuración: todos daban por hecho un escalado perfecto hacia 2025. Pero llegó el mazazo: el 3 de diciembre, el equipo de React soltó la bomba. CVE-2025-55182. Ejecución remota de código sin autenticación. CVSS 10.0. Puntuación máxima. Posibilidad de toma de control total.
No es un desborde de búfer perdido en un rincón. Un atacante arma una petición HTTP maliciosa a cualquier endpoint de React Server Function. ¡Pum! Una falla de deserialización le permite ejecutar código arbitrario en tu servidor. Aunque no uses Server Functions directamente. ¿Solo activaste React Server Components? Estás expuesto.
Hay una vulnerabilidad de ejecución remota de código sin autenticación en React Server Components. Recomendamos actualizar de inmediato.
Directo del aviso del equipo de React. Sin anestesia.
Versiones de 19.0 a 19.2.0. Parcheadas en 19.0.1, 19.1.2 y 19.2.1. Un simple npm update. Pero el impacto: brutal. Next.js —desde 13.3.x hasta los canaries de 16.x— con parches específicos. Las APIs inestables RSC de React Router. Waku, Parcel RSC, plugin de Vite, RWSDK. Proveedores de hosting aplicaron mitigaciones temporales (no apuestes la granja a eso).
¿Tu app de Next.js tiene un blanco en la frente?
Next.js arrasa en los despliegues de React: más del 40% de cuota según encuestas recientes. Si estás en 13.3 o superior, corre npm install [email protected] para las líneas 13/14. ¿15.x? Fíjate en 15.0.8 hasta 15.5.10. ¿Canaries? Baja a estable. Los comandos son largos, pero si te salta uno, estás frito.
Mira, React Server Components (RSC) eran la gran apuesta de Vercel: React full-stack sin hinchazón en el cliente. La adopción explotó tras React 19. Pero esta vulnerabilidad grita inmadurez. ¿Ataques de deserialización? Prehistóricos. Piensa en los payloads de ysoserial de Java de hace una década. La capa de traducción HTTP-a-función de React: un colador.
Y el toque picante —mi ángulo exclusivo— recuerda al caos de Log4Shell en 2021. Esa librería de logging de Java se apoderó del mundo JVM de la noche a la mañana. Los paquetes server DOM de React (webpack, turbopack) son un espejo: funciones server opt-in integradas en frameworks que todos usan. ¿Resultado? Propagación silenciosa. ¿Monorepos con React Native? Actualiza solo los paquetes server-dom. Pero la mayoría no lo hará.
Los frameworks corrieron a tapar. El blog de Next.js se llenó de changelogs. Expo, Redwood, Waku: todos parcheando. ¿Usuarios de React Native en monorepos? Actualizaciones selectivas para evitar desajustes. Caos, pero controlado… por ahora.
El mercado gira rápido. El hype de RSC impulsó rumores de valoraciones de Next.js por encima de los 2.000 millones para Vercel. ¿Esto? Frena el carro. Equipos que miran Remix o solid starters (con doble sentido) podrían pensárselo dos veces. ¿Para qué jugártela con RCE si la hidratación client-side funciona de lujo? Espera encuestas de Q1 2026 con un bajón del 10-15% en la activación de RSC.
¿Por qué no puedes ignorar este parche?
CVSS 10.0 no es exageración. Complejidad de ataque: baja. Privilegios: ninguno. Alcance: cambiado (del cliente al servidor). Golpe total a confidencialidad, integridad y disponibilidad. ¿Endpoints públicos? Fin del juego. ¿Sitios de e-commerce en Next.js? Flujos de pago secuestrados. ¿Dashboards SaaS? Exfiltración de datos a tope.
El equipo de React coordinó el rollout: detalles tras el parche. Inteligente. Pero el PR minimiza el radio de explosión en el ecosistema. “Si no hay server, estás a salvo.” Claro. Pero ¿quién corre React solo-cliente en producción? Bundlers como Vite o Parcel meten ganchos RSC. Dependencias peer arrastran el React vulnerable.
Los caminos de actualización varían como locos. ¿Next.js canary en 14.3.0? Rebobina a 14 estable. ¿React Router? `npm instal
