React2Shell (CVE-2025-55182): Vulnerabilidad crítica de ejecución remota de código en Server de React

CVE-2025-55182 es una vulnerabilidad crítica de ejecución remota de código previa a la autenticación en React Server , con una puntuación CVSS de 10,0, la máxima calificación de gravedad posible. Como parte del Programa de BecasOPSWAT , nuestros becarios llevaron a cabo un análisis técnico exhaustivo de esta vulnerabilidad, examinando su causa raíz en el protocolo de deserialización de React Flight, la cadena de explotación completa y su amplio impacto en el ecosistema web moderno. En este blog presentamos nuestros hallazgos junto con recomendaciones prácticas para los defensores.

React se ha convertido en una de las bibliotecas front-end más utilizadas del mundo, y es la base de una parte significativa de mobile web y mobile modernas. Las encuestas a desarrolladores de Stack Overflow sitúan sistemáticamente a React entre los principales marcos web, con una adopción que supera el 40 % de los desarrolladores profesionales a nivel mundial. Paralelamente a este crecimiento, el equipo de React introdujo Server React Server (RSC) como una característica fundamental de React 19: un cambio de paradigma que traslada la lógica de renderizado del cliente al servidor, lo que permite un rendimiento optimizado y una integración más estrecha entre el código del lado del servidor y el del lado del cliente.

Sin embargo, esta evolución arquitectónica introdujo una nueva superficie de ataque crítica. El 29 de noviembre de 2025, el investigador de seguridad Lachlan Davidson notificó una vulnerabilidad en la lógica de deserialización del lado del servidor de React al programa Bug Bounty de Meta. La vulnerabilidad, que se hizo pública el 3 de diciembre de 2025 con el identificador CVE-2025-55182, permite la ejecución remota de código sin autenticación mediante una única solicitud HTTP manipulada. Clasificada como CWE-502 (Deserialización de datos no confiables), la vulnerabilidad no requiere autenticación, interacción del usuario ni configuración especial de la aplicación: una implementación predeterminada de «create-next-app» creada para producción es inmediatamente explotable.

React es una biblioteca de JavaScript para crear interfaces de usuario, mantenida por Meta y una amplia comunidad de código abierto. Server de React (RSC), introducidos con React 19, representan un cambio fundamental en la forma en que las aplicaciones de React gestionan la representación. A diferencia de los componentes de cliente tradicionales, que se ejecutan íntegramente en el navegador, los componentes de servidor se ejecutan en el servidor, generando una representación serializada de la interfaz de usuario que se transmite al cliente. Este diseño reduce la cantidad de JavaScript enviada al navegador, mejora las métricas de tiempo de interactividad y permite el acceso directo a recursos del lado del servidor, como bases de datos y sistemas de archivos.

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

Consideremos una Server definida de la siguiente manera:

La solicitud HTTP correspondiente contiene varios campos de formulario, cada uno de los cuales consta de una clave y un valor: el campo 0 contiene la matriz de argumentos con referencias como «$W1» y «$K2», mientras que los campos 1 y 2_* contienen los datos a los que remiten dichas referencias. El servidor procesa cada campo a medida que lo recibe, almacenando los resultados intermedios en objetos denominados «chunks».

Un chunk es un objeto «thenable» con cuatro propiedades clave: status (el estado de resolución), value (los datos almacenados), reason (información sobre el error) y _response (una referencia al objeto de respuesta principal). Cuando el servidor encuentra await chunk, se invoca el método .then() del chunk. Si el estado del chunk es INITIALIZED, la llamada de retorno de resolución recibe chunk.value. Si el estado es PENDING, BLOCKED o CYCLIC, las llamadas de retorno se ponen en cola para su ejecución posterior.

A continuación se describe cómo procesa Next.js una solicitud entrante Server en condiciones normales, desde la capa HTTP hasta el motor de deserialización de React Flight.

Cuando se invoca una Server , la solicitud entra en la función `handleAction`. Esta función valida los metadatos, comprueba los encabezados y los tokens CSRF, y confirma que la solicitud es una acción de recuperación válida. A continuación, se crea un flujo denominado busboyStream para analizar el cuerpo del formulario multiparte. La función decodeReplyFromBusboy vincula emisores de eventos a este flujo, lo que activa las funciones de controlador de deserialización ServerReact Servera medida que se reciben los datos sin procesar. El valor de retorno de decodeReplyFromBusboy es chunk_0; el operador await lo resuelve y pasa su valor ensamblado a la Server invocada.

La función `getChunk` devuelve el fragmento correspondiente a un ID determinado. Si ese fragmento aún no existe, crea un ` ResolvedModelChunk ` (si ya hay datos en `response._formData`) o un `PendingChunk` (si aún no han llegado datos para ese ID).

Cuando decodeReplyFromBusboy devuelve chunk_0, el fragmento sigue en estado PENDING. El operador await llama a chunk_0.then() y almacena temporalmente las funciones de llamada de retorno resolve y reject en chunk_0.value y chunk_0.reason. Estas funciones de llamada de retorno son reactivadas por la función wakeChunk una vez que se completa la resolución de referencias.

Cuando busboyStream recibe un campo de datos sin procesar completo, activa el emisor de eventos «field», invoca la función resolveField e inicia la deserialización, es decir, la conversión de los datos sin procesar del formulario en objetos JavaScript completamente construidos. Las siguientes funciones controlan este proceso.

resolveField(respuesta, clave, valor)

La clave y el valor se añaden a `response._formData`. A continuación, la función recupera el fragmento correspondiente al ID que coincide con la clave. Si ese fragmento ya existe, se llama a `resolveModelChunk` para reconstruirlo. Esta resolución diferida es necesaria porque un valor puede contener referencias a campos cuyos datos sin procesar aún no han llegado; en ese caso, React Server un `PendingChunk` con callbacks personalizados de resolución y rechazo para gestionar esas referencias más adelante.

resolveModelChunk(chunk, valor, id)

resolveModelChunk crea un ResolvedModelChunk con el estado RESOLVED_MODEL e inyecta los datos sin procesar. A continuación, reconstruye el fragmento mediante initializeModelChunk y llama a wakeChunk para activar cualquier callback de resolución o rechazo en cola, completando así la resolución del objeto o la referencia.

initializeModelChunk(chunk)

initializeModelChunk cambia el estado del fragmento a CYCLIC —lo que indica que se está llevando a cabo la resolución de referencias— y comienza la deserialización. Crea un objeto JavaScript sin procesar a partir de chunk.value utilizando JSON.parse y, a continuación, pasa este objeto a la función reviveModel.

reviveModel(respuesta, objetoPadre, clavePadre, valor, referencia)

reviveModel procesa de forma recursiva cada componente del objeto analizado. Cuando encuentra un valor de cadena, llama a parseModelString para gestionarlo.

parseModelString(respuesta, objeto, clave, valor, referencia)

parseModelString se activa en función del prefijo de la cadena para gestionar los distintos tipos de codificación. En el caso de las referencias que comienzan por $, se llama a la función getOutlinedModel para resolver la referencia entre fragmentos.

getOutlinedModel(respuesta, referencia, objetoPadre, clave, mapa)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

El fallo crítico radica en que estos nombres de propiedades nunca se validan. El servidor no comprueba si las propiedades solicitadas son propiedades propias del objeto o propiedades del prototipo heredadas. Por lo tanto, un atacante puede incluir __proto__ en la ruta de la propiedad para recorrer la cadena de prototipos y acceder a métodos internos a los que nunca se debería poder acceder desde entradas controladas por el usuario. Por ejemplo, la referencia $1:__proto__:then se resuelve como Chunk.prototype.then, una función que el atacante puede invocar con argumentos controlados.

La cadena de explotación aprovecha dos rutas de código distintas en la lógica de deserialización de Flight de React.

El primero es Chunk.prototype.then, que determina cómo se comportan los chunks como objetos «thenable». Cuando se aplica «await» a un chunk en estado INITIALIZED, se invoca a resolve(chunk.value). Si chunk.value es a su vez un objeto «thenable» (un objeto con un método .then() ), el operador «await» invoca de forma recursiva a chunk.value.then(). Esta resolución recursiva es el mecanismo mediante el cual un atacante redirige la ejecución a una función arbitraria.

El segundo es el controlador del prefijo $B (blob) dentro de la función parseModelString():

En el caso $B, la función llama a response._formData.get(response._prefix + id). Tanto _formData.get como _prefix son propiedades del objeto _response almacenado dentro del fragmento. Al controlar estas propiedades mediante el recorrido de la cadena de prototipos, un atacante puede redirigir esta llamada para invocar el constructor global Function con código arbitrario como argumento.

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

Para demostrar el impacto potencial en el mundo real, nuestros becarios han creado una carga útil de prueba de concepto que coincide con el análisis documentado de forma independiente por varios equipos de investigación en seguridad. El exploit funciona en dos fases:

Fase 1: Crear el fragmento ficticio:

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

Dado que el campo 1 aún no se ha recibido en este momento, el Server de React crea Server las funciones de devolución de llamada «resolve» y «reject» para gestionar la referencia pendiente.

Fase 2: Resolución del desencadenante:

Una vez que se entrega el campo 1 —que contiene «$@0», una referencia sin procesar al fragmento 0—, el fragmento pendiente se resuelve y apunta directamente al fragmento falso. Esto activa wakeChunk, que procesa las funciones de devolución de llamada en cola e inicia el recorrido de la cadena de prototipos durante la resolución de la referencia. Una vez que el fragmento falso se ha resuelto por completo, se vuelve a llamar a wakeChunk. Dado que la llamada de retorno de resolución del fragmento falso es la función de resolución implícita de Node.js, esta invoca el método .then() del fragmento y resuelve su valor, construyendo y ejecutando finalmente el código malicioso inyectado a través del constructor Function.

Para llevar a cabo el exploit completo solo se necesita una única solicitud HTTP:

Nuestros investigadores reprodujeron la vulnerabilidad en un entorno de laboratorio controlado utilizando una aplicación estándar de Next.js generada con create-next-app y preparada para producción, sin realizar modificaciones en la configuración predeterminada. La reproducción confirmó que la carga útil de explotación de una sola solicitud descrita anteriormente permite ejecutar código de forma remota de manera fiable.

El equipo de React publicó parches el 3 de diciembre de 2025, el mismo día en que se dio a conocer públicamente la vulnerabilidad. Las versiones corregidas están disponibles como React 19.0.1, 19.1.2 y 19.2.1. El parche añade una validación estricta de propiedades en getOutlinedModel() y reviveModel(), bloqueando explícitamente la resolución de propiedades de prototipo heredadas —incluidas __proto__, constructor y prototype— a partir de rutas de referencia controladas por el usuario en las cargas útiles de Flight.

Las organizaciones deben adoptar las siguientes medidas inmediatas:

1. Actualiza los paquetes de React a una versión parcheada (19.0.1, 19.1.2 o 19.2.1) ejecutando «npm install react-server-dom-webpack@latest», «react-server-dom-parcel@latest» o «react-server-dom-turbopack@latest», según corresponda.
2. Actualizar las dependencias de los marcos de trabajo: Next.js, React Router, Waku y otros marcos afectados han publicado los parches correspondientes. Consulta el aviso del equipo de React para conocer las rutas de actualización específicas para cada versión.
3. No confíes únicamente en las medidas de mitigación de los proveedores de alojamiento: aunque proveedores como Vercel implementaron reglas WAF temporales tras la divulgación, se trata de medidas provisionales que no sustituyen a la aplicación de parches en los paquetes subyacentes.
4. Revisa los registros del servidor en busca de solicitudes POST que incluyan encabezados «Next-Action» con cuerpos «multipart/form-data» que contengan los patrones $@ o __proto__, y supervisa si hay llamadas inesperadas a «child_process» o «execSync» en los registros de la aplicación.

OPSWAT , una tecnología propia de la plataforma MetaDefender™, ofrece la visibilidad y el control necesarios para defenderse contra vulnerabilidades como la CVE-2025-55182. Dado que esta vulnerabilidad reside en paquetes npm de código abierto (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack), las organizaciones deben, en primer lugar, elaborar un inventario completo de dónde se han implementado estos componentes en su infraestructura antes de que sea posible una corrección efectiva.