Next.js lanza un escáner para detectar y actualizar aplicaciones afectadas por la vulnerabilidad React2Shell Una herramienta de línea de comandos dedicada, fix-react2shell-next, para ayudar a los desarrolladores a detectar e implementar parches inmediatamente para la vulnerabilidad crítica “React2Shell” (CVE-2025-66478). Este nuevo escáner ofrece una solución de una sola línea para identificar versiones vulnerables de Next.js y Componentes del Servidor React (RSC). Aplica automáticamente las actualizaciones de seguridad necesarias incluidas en la última versión de Next.js. Detección y parcheo automatizados. La herramienta simplifica la remediación.
Hay una herramienta de línea de comandos dedicada, fix-react2shell-next, para ayudar a los desarrolladores a detectar e implementar rápidamente la solución a la vulnerabilidad crítica “React2Shell” (CVE-2025-66478).
Este nuevo escáner ofrece una solución de una sola línea para identificar versiones vulnerables de Next.js y React Server Components (RSC). Aplica automáticamente las actualizaciones de seguridad necesarias incluidas en la última versión de Next.js.
Detección y Solución Automatizadas
La herramienta simplifica el proceso de solución escaneando recursivamente todos los archivos package.json dentro de un proyecto.
Este diseño asegura que funcione eficazmente tanto en repositorios estándar como en monorepos complejos gestionados por npm, yarn, pnpm o bun.
A diferencia de las comprobaciones manuales, que pueden ser propensas a errores humanos, el escáner verifica sistemáticamente las versiones instaladas de next, react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack.
Una vez que se identifican los paquetes vulnerables, la utilidad los actualiza a la versión correcta y segura, según lo determinado por el aviso oficial de GitHub advisory.
Luego, actualiza el archivo lockfile utilizando el gestor de paquetes detectado para asegurar que la solución se bloquee correctamente.
Por ejemplo, actualizará automáticamente una instalación vulnerable de Next.js 15.1.0 directamente a la versión fija 15.1.9.
La vulnerabilidad afecta a múltiples líneas de lanzamiento de Next.js y los paquetes React RSC, según informa GitHub.
Los desarrolladores que ejecuten cualquier versión dentro de los rangos “Afectados” que se muestran a continuación deben actualizar inmediatamente.
| Paquete | Rango de Versión Afectado | Versión Solucionada |
|---|---|---|
| Next.js | 15.0.0 – 15.0.4 | 15.0.5 |
| 15.1.0 – 15.1.8 | 15.1.9 | |
| 15.2.0 – 15.2.5 | 15.2.6 | |
| 15.3.0 – 15.3.5 | 15.3.6 | |
| 15.4.0 – 15.4.7 | 15.4.8 | |
| 16.0.0 – 16.0.6 | 16.0.7 | |
| React RSC | 19.0.0 | 19.0.1 |
| 19.1.0 – 19.1.1 | 19.1.2 |
Cómo Usar el Escáner
Puedes ejecutar la herramienta directamente usando npx. Para una experiencia interactiva que te pida confirmación antes de realizar cambios, puedes usar el comando estándar.
Para entornos de Integración Continua (CI) o flujos de trabajo automatizados donde no son posibles las indicaciones, la bandera fix obliga a la herramienta a aplicar los parches automáticamente.
Por el contrario, los equipos que quieren auditar su proyecto sin realizar cambios inmediatos pueden usar la bandera dry-run para ver un informe de lo que se actualizaría.
También hay una bandera json disponible para fines de scripting, lo que permite a los equipos de seguridad canalizar la salida en otras herramientas de monitoreo. Para ejecutar la solución interactiva, ejecuta el siguiente comando en tu terminal: npx fix-react2shell-next.
Fuentes:https://cybersecuritynews.com/next-js-released-a-scanner/
No hay comentarios:
Publicar un comentario