Vulnerabilidad React2Shell: Falla de Máxima Severidad en Componentes del Servidor React Explotada Activamente por Grupos Respaldados por China

Una nueva vulnerabilidad de máxima gravedad (con una puntuación CVSS de 10.0) en React Server Components (RSC), denominada React2shell, causa revuelo en el panorama de amenazas cibernéticas, justo después de la reciente explotación de dos vulnerabilidades de alta gravedad en el Android Framework (CVE-2025-48633 y CVE-2025-48572). Los defensores han observado que múltiples grupos respaldados por la nación china explotan la vulnerabilidad React2Shell, lo que permite RCE, poniendo a las implementaciones vulnerables en un riesgo significativo. 

Durante años, China ha llevado a cabo operaciones cibernéticas ofensivas dirigidas a organizaciones de EE.UU. e internacionales en diversos sectores, a menudo aprovechando grupos APT vinculados al estado-nación, como Mustang Panda or APT41 para recopilar inteligencia y datos sensibles. 

Durante medio decenio, las operaciones cibernéticas respaldadas por el estado chino han enfatizado cada vez más el sigilo y la seguridad operativa, creando un panorama de amenazas más complejo y desafiante para organizaciones en diversos sectores, incluido el sector público, así como para la comunidad global de ciberseguridad. Los grupos APT vinculados a China siguen siendo los actores patrocinados por estados más rápidos y activos, a menudo armando nuevos exploits casi inmediatamente después de su divulgación. El Informe Global de Amenazas de CrowdStrike 2025 indica que los actores de amenazas vinculados a China aumentaron las operaciones cibernéticas patrocinadas por el estado en un 150%.

Regístrese en la Plataforma SOC Prime, la Plataforma de Inteligencia de Detección Nativa de IA para equipos SOC, para ayudar a su organización a prevenir amenazas emergentes de cualquier sofisticación, ataques APT avanzados y campañas de explotación de vulnerabilidades en evolución. Haga clic en Explorar Detecciones para acceder a una colección integral de contenido SOC para la explotación de vulnerabilidades, filtrada inteligentemente por una etiqueta personalizada ‘CVE’.

Explorar Detecciones

Todas las detecciones se pueden aplicar a través de diversos sistemas SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® . También se enriquecen con inteligencia de detección nativa de IA y metadatos accionables, incluyendo referencias CTI, líneas de tiempo de ataques, configuración de auditoría, recomendaciones de triaje para una investigación de amenazas y análisis CTI simplificados, ayudando a los equipos a mejorar la eficiencia operativa.

Los equipos de seguridad también pueden confiar en Uncoder AI para acelerar los flujos de trabajo de ingeniería de detección de extremo a extremo y aprovechar la conversión automatizada de IOC en consultas de búsqueda personalizadas, la generación automatizada de lógica de detección directamente de informes de amenazas, la visualización de flujo de ataques, la predicción de etiquetas ATT&CK y contenido asistido por IA en múltiples formatos de lenguajes, todo en una sola solución. 

Análisis de la Vulnerabilidad React2Shell

Recientemente, los defensores descubrieron una nueva vulnerabilidad de máxima gravedad en React Server Components rastreada como CVE-2025-55182, también conocida como React2Shell, que afecta a React 19.x y Next.js 15.x/16.x con App Router. Esta falla RCE pre-autenticación fue reportada responsablemente a Meta por Lachlan Davidson, con React y Vercel emitiendo conjuntamente parches el 3 de diciembre de 2025. Se publicaron exploits de PoC públicos aproximadamente 30 horas después de la divulgación, seguidos poco después por los propios PoCs del investigador. 

React2Shell surge de una deserialización insegura de cargas útiles enviadas a través de solicitudes HTTP a puntos finales de función de servidor. Esta falla de deserialización lógica en el procesamiento de cargas útiles RSC permite que un atacante no autenticado envíe una solicitud HTTP manipulada a cualquier punto final de función de servidor, que React luego deserializa, permitiendo la ejecución de código JavaScript arbitrario en el servidor.

Los equipos de inteligencia de amenazas de Amazon informan que los colectivos patrocinados por el estado vinculados a China, tanto grupos establecidos como clústeres previamente desconocidos, incluidos Earth Lamia y Jackpot Panda, ya están intentando armar la falla, que permite RCE no autenticada a través del manejo inseguro de cargas útiles RSC. 

Los adversarios están aprovechando tanto escáneres automatizados como PoCs ejecutados manualmente, con algunas herramientas utilizando tácticas de evasión como agentes de usuario aleatorios. Su actividad se extiende mucho más allá del CVE‑2025‑55182, y el monitoreo de Amazon muestra que los mismos clústeres chinos explotan otras vulnerabilidades recientes, como CVE‑2025‑1338. Esto subraya un modelo sistemático en el que los adversarios rastrean nuevas divulgaciones, incorporan inmediatamente los exploits públicos en su equipamiento y lanzan amplias campañas a través de múltiples CVEs a la vez para maximizar el alcance del objetivo.

Notablemente, muchos adversarios dependen de PoCs publicados públicamente que no funcionan en implementaciones reales. La comunidad de GitHub ha señalado numerosos ejemplos que malinterpretan la vulnerabilidad, incluidos demostraciones que registran incorrectamente módulos peligrosos o permanecen explotables incluso después de parchear. Sin embargo, los atacantes continúan usándolos, destacando claras tendencias de comportamiento, como la adopción rápida sobre la validación, el escaneo de alto volumen, las bajas barreras de entrada debido a la disponibilidad de explotaciones públicas y el ruido de los registros que puede oscurecer ataques más dirigidos.

La telemetría MadPot de AWS confirma que los adversarios están iterando persistentemente en sus intentos de explotación. El grupo no atribuido (IP 183[.]6.80.214) pasó casi una hora el 4 de diciembre probando repetidamente cargas útiles, emitiendo más de 100 solicitudes en 52 minutos, ejecutando comandos de Linux, intentando escribir archivos en /tmp/pwned.txt, e intentando leer /etc/passwd. Esto demuestra que los atacantes no simplemente lanzan escaneos automatizados, sino que están depurando activamente y refinando técnicas contra sistemas en vivo.

Notablemente, la amenaza también afecta a las aplicaciones Next.js que usan App Router. Originalmente asignado CVE‑2025‑66478 con una puntuación CVSS de 10.0, desde entonces ha sido marcado por el NIST NVD como un duplicado de la vulnerabilidad React2Shell.

Wiz informó que el 39% de los entornos de nube tienen sistemas susceptibles a CVE‑2025‑55182 y CVE‑2025‑66478. Aunque los servicios de AWS no están impactados, dada la naturaleza crítica de ambas vulnerabilidades, se insta a los usuarios a aplicar parches de inmediato para asegurar la máxima protección.

Las organizaciones que ejecutan React o Next.js en EC2, en contenedores o en otros entornos autogestionados deben aplicar actualizaciones sin demora. Para minimizar los riesgos de la explotación de React2Shell, actualice inmediatamente las aplicaciones React y Next.js afectadas siguiendo el Boletín de Seguridad de AWS para versiones parcheadas. Como medida provisional, se recomienda a los defensores que implementen la regla personalizada de AWS WAF proporcionada en el boletín para bloquear intentos de explotación. 

Mientras tanto, Cloudflare anunció que ha implementado una nueva protección en su WAF basado en nube como un paso potencial de mitigación de React2Shell. Según la compañía, todos los clientes, tanto los gratuitos como los de pago, están protegidos, siempre que su tráfico de aplicaciones React pase a través del proxy de Cloudflare.

A medida que el número de vulnerabilidades explotadas activamente sigue aumentando, las organizaciones con visión de futuro están priorizando las defensas cibernéticas proactivas para asegurar posiciones de seguridad fuertes y resilientes. La Plataforma de Inteligencia de Detección Nativa de IA de SOC Prime ayuda a las organizaciones a elevar sus defensas cibernéticas a escala al empoderar tecnologías de IA y la mejor experiencia en ciberseguridad, mientras maximiza la efectividad de los recursos.