Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1688
)
-
▼
diciembre
(Total:
26
)
-
Microsoft soluciona silenciosamente la vulnerabili...
-
Pentesting en Android: metodología completa (I)
-
Fiscal de Arizona demanda a Temu por robo de datos
-
El presidente de España pide que Mark Zuckerberg d...
-
Microsoft actualiza la lista de CPUs Intel y AMD c...
-
Lo más buscado en Google y lo más peguntado a Amaz...
-
Las 10 extensiones favoritas de Google para IA con...
-
El Agente de IA Antigravity de Google borra todo e...
-
Vulnerabilidades críticas en React y Next.js
-
Micron liquida la marca Crucial para mejorar el su...
-
China impone nuevas normativas sobre las baterías ...
-
CEO de IBM advierte que la construcción de centros...
-
La botnet Aisuru realiza un nuevo ataque DDoS réco...
-
Windows 11 necesitaría un Service Pack
-
Let's Encrypt disminuirá la caducidad de los certi...
-
Ya disponible FreeBSD 15
-
Google soluciona 107 fallos en Android
-
Samsung presenta el Galaxy Z TriFold, un móvil ple...
-
Repositorios públicos de GitLab expusieron más de ...
-
DeepSeek presenta su nuevo modelo IA con razonmie...
-
ONLYOFFICE Docs 9.2: la suite ofimática estrena co...
-
Gemini 3 vs GPT-5.1: diferencias clave, rendimient...
-
TaskHound: automatizando la detección de tareas pr...
-
Todo lo que el navegador web revela por defecto si...
-
Windows 11 sigue siendo más lento que Windows 10
-
Seis grupos extranjeros de ciberespionaje, princip...
-
- ► septiembre (Total: 148 )
-
▼
diciembre
(Total:
26
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Además de las temidas cookies y de que la dirección IP figura en las peticiones que se hacen de páginas web, el navegador revela sin que l... -
A partir de 2026, la validez de los certificados digitales disminuirá gradualmente, pasando de 398 días a 47 días para 2029 . Let's Encr...
Vulnerabilidades críticas en React y Next.js
Se ha revelado un fallo de seguridad de máxima gravedad en React Server Components (RSC) que, de explotarse con éxito, podría provocar la ejecución remota de código. La vulnerabilidad, identificada como CVE-2025-55182, tiene una puntuación CVSS de 10.0.
Según declaró el equipo de React en una alerta emitida hoy, la vulnerabilidad permite la ejecución remota de código sin autenticación al explotar un fallo en la forma en que React decodifica las cargas útiles enviadas a los endpoints de React Server Function.
Incluso si su aplicación no implementa ningún endpoint de React Server Function, podría ser vulnerable si es compatible con React Server Components.
Según la empresa de seguridad en la nube Wiz, el problema se debe a una deserialización lógica derivada del procesamiento inseguro de las cargas útiles de RSC. Como resultado, un atacante no autenticado podría crear una solicitud HTTP maliciosa a cualquier endpoint de función de servidor que, al ser deserializada por React, ejecute código JavaScript arbitrario en el servidor.
La vulnerabilidad afecta a las versiones 19.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes npm:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Se ha solucionado en las versiones 19.0.1, 19.1.2, and 19.2.1. El investigador de seguridad neozelandés Lachlan Davidson fue el responsable del descubrimiento y reporte de la falla el 29 de noviembre de 2025.
¿Qué productos están afectados?
Es probable que cualquier framework o biblioteca que incluya la implementación de React-Server se vea afectado. Esto incluye, entre otros:
- Next.js
- Plugin RSC de Vite
- Plugin RSC de Parcel
- Vista previa de React Router RSC
- RedwoodSDK
- Waku
No obstante, cualquier biblioteca que incluya RSC probablemente se vea afectada por la falla. Esto incluye, entre otros, el complemento Vite RSC, el complemento Parcel RSC, la vista previa de React Router RSC, RedwoodJS y Waku.
Los datos de Wiz indican que el 39% de los entornos en la nube contienen instancias de Next.js o React en versiones vulnerables a CVE-2025-55182 o CVE-2025-66478. En cuanto a Next.js, el framework está presente en el 69% de los entornos. Cabe destacar que el 61% de estos entornos tienen aplicaciones públicas que ejecutan Next.js, lo que significa que el 44% de todos los entornos en la nube tienen instancias de Next.js expuestas públicamente.
Dada la gravedad de la vulnerabilidad, se recomienda a los usuarios aplicar las correcciones lo antes posible para una protección óptima.
Fuente: THN
Fuentes:
http://blog.segu-info.com.ar/2025/12/urgnt-errores-criticos-en-react-y.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.