¿Qué es React2Shell? (CVE-2025-55182 y CVE-2025-66478)

CVE-2025-55182 de React y CVE-2025-66478 de Next.js, ahora denominadas de forma conjunta React2Shell, reflejan un error de contaminación de prototipos, en este caso no convencional. La mayoría de los errores de contaminación de prototipos requieren un error adicional para que el atacante pueda sacarles partido, pero estos solo necesitan un paso.

Tienen una puntuación CVSS de 10,0, la más alta de gravedad. Si eres vulnerable, tienes que adoptar medidas de inmediato.

Aprende más Más información sobre CVSS 10,0

Lista de comprobación «¿Me afecta a mí?»

Configuraciones vulnerables:

  • Versiones de React (19.0, 19.1 y 19.2) junto con cualquiera de las implementaciones de RSC de la lista: 

  • Next.js 15, 15.1, 15.2, 15.3, 15.4, 15.5, 16 

  • App Router

  • Vista previa del RSC de React Router

  • Complemento RSC de Parcel

  • Complemento RSC de Vite

Si utilizas alguno de estos sin parches, puede que seas vulnerable.

Centro de incidentes de React2Shell

Más información sobre cómo corregir estas vulnerabilidades críticas.

  • Actualizaciones de estado

    El equipo de seguridad de Fastly proporciona actualizaciones en tiempo real sobre la vulnerabilidad crítica en la ejecución remota de código y las vulnerabilidades relacionadas encontradas en el marco React.

    Seguimiento del progreso de incidentes

  • Industrias y regiones objetivo

    El alcance de React2Shell se extiende a empresas de todo el mundo. Esto es lo que estamos observando y las medidas que deben tomar las empresas, entre ellas, identificar y corregir inmediatamente las aplicaciones vulnerables.

    Más información

  • Contacto

    ¿Necesitas ayuda con la corrección? No te sientas abrumado; estamos aquí para ayudarte. Si tienes alguna pregunta o consulta sobre la vulnerabilidad de React2Shell, envíanos un correo electrónico.

    correo electrónico CVE-alert@fastly.com

Reaccionamos de inmediato

En la tarde del 1 de diciembre de 2025, Vercel informó a Fastly de la próxima divulgación de las vulnerabilidades ahora denominadas conjuntamente React2Shell. Tras conocer las vulnerabilidades, Fastly inició inmediatamente una investigación de nuestros sistemas internos y comenzó a desarrollar contenido de detección con el fin de proporcionar un soporte rápido y proactivo a nuestros clientes. 

En las horas siguientes, se pusieron a disposición parches virtuales para estas CVE con el fin de dar un respiro a las empresas que evaluaban la exposición y descubrimos que, según nuestras investigaciones, la infraestructura de la plataforma central de Fastly no era vulnerable a React2Shell.

Cómo te protege Fastly

Para evitar la ejecución remota de código debido a la vulnerabilidad React2Shell, se recomienda a los clientes de Fastly NGWAF que apliquen inmediatamente el parche virtual para CVE-2025-66478 (que también aborda CVE-2025-55182). El 12 de diciembre, tras recibir información de Vercel y Meta sobre la CVE-2025-55184 (denegación de servicio) y la CVE-2025-55183 (filtración de información), Fastly desarrolló e implementó rápidamente un parche virtual para ambas. Estos parches estaban habilitados por defecto en modo de bloqueo para todos los clientes de Fastly NGWAF; nuestra detección actual para CVE-2025-55184 también cubre automáticamente la CVE-2025-67779 posterior.

Fastly Compute se ejecuta en WebAssembly (Wasm), que aísla estrictamente cada solicitud. Esta arquitectura evita que los exploits RCE escapen del entorno de ejecución para acceder al host o a los datos de otros usuarios.

¿Quieres más?