Cybool Logo
ENES
Volver al blog
Threat Intelligence

React2Shell: la vulnerabilidad web crítica que afecta a millones de sitios (actualización de diciembre de 2025)

C

Cybool Team

Equipo de Ciberseguridad y Cumplimiento

11 de diciembre de 2025
4 min de lectura

Una nueva falla de seguridad —apodada React2Shell— se ha convertido en una de las vulnerabilidades web más graves de los últimos años. Afecta a React Server Components y Next.js, dos de las tecnologías más utilizadas que impulsan sitios web modernos, plataformas SaaS, portales de clientes, CRM y paneles internos.

Si su empresa usa React o Next.js, esta actualización le importa.

Por qué esta vulnerabilidad importa

Impacto enorme en el ecosistema:

  • React es usado por más de 20 millones de desarrolladores
  • Más de 3 millones de sitios web en producción ejecutan Next.js
  • ~45 % de las empresas SaaS dependen de estas tecnologías

Esto hace que la superficie de ataque sea extremadamente grande.

Ejecución remota de código (RCE) sin autenticación:

Los atacantes pueden ejecutar comandos en un servidor sin iniciar sesión.

Explotación activa:

Millones de escaneos detectados a principios de diciembre; intrusiones confirmadas en múltiples sectores.

¿Qué ocurrió en realidad?

La falla está en React Server Components (RSC). Una debilidad en la forma en que RSC procesa los datos permite a los atacantes enviar una solicitud manipulada y engañar al servidor para que ejecute código. Esto afecta a productos SaaS, paneles, herramientas internas, API y aplicaciones web de cara al cliente.

¿Quién está afectado?

React (CVE-2025-55182): Cualquier aplicación que ejecute paquetes vulnerables de RSC de React 19.

Next.js (CVE-2025-66478): Aplicaciones que usan el App Router en versiones más antiguas.

Impacto comercial

  • Exposición de datos de clientes
  • Tiempo de inactividad del negocio y servicios suspendidos
  • Daño reputacional
  • Posibles problemas regulatorios (GDPR, NIS2, PCI, contratos)

Estadísticas clave

  • Más de 20 millones de desarrolladores de React
  • Más de 3 millones de sitios Next.js
  • 45 % del SaaS depende de frameworks de React
  • Puntuación CVSS 10/10
  • Millones de intentos de explotación en una semana
  • Compromisos confirmados en múltiples países

Qué deberían hacer las empresas

  1. Verifique si el producto usa React Server Components o el App Router de Next.js.
  2. Aplique el parche oficial de inmediato y vuelva a desplegar.
  3. Revise los registros de acceso en busca de actividad inusual.
  4. Rote las credenciales sensibles.
  5. Informe a los equipos internos.

¿Necesita ayuda para evaluar su exposición o responder a esta vulnerabilidad? Contacte al equipo de seguridad de Cybool para asistencia inmediata.

Etiquetas:

ReactNext.jsCVEEjecución remota de códigoSeguridad webVulnerabilidad

Artículos relacionados

El incidente del que nadie habla: cómo una sola app SaaS mal configurada derribó toda una cadena de suministro
Threat Intelligence

El incidente del que nadie habla: cómo una sola app SaaS mal configurada derribó toda una cadena de suministro

Una empresa de logística europea de tamaño medio quedó a oscuras en mayo de 2026 —no por un día cero, sino por un token OAuth olvidado en una app de gestión de proyectos de terceros. Esta es la amenaza que no está en los titulares, pero debería estarlo.

Leer más
12 minutos hasta la contención: cómo un SOC de MDR detuvo un ataque de ransomware en preparación en 2026 antes de que comenzara el cifrado
Threat Intelligence

12 minutos hasta la contención: cómo un SOC de MDR detuvo un ataque de ransomware en preparación en 2026 antes de que comenzara el cifrado

Un martes de marzo de 2026, un analista de MDR vio un único comando de PowerShell anómalo a las 02:47 hora local. Para las 02:59, el ataque había sido contenido sin un solo archivo cifrado. Esta es la cronología minuto a minuto.

Leer más
Malware generado por IA en 2026: cómo el "vibeware" de APT36 está desbordando las defensas cibernéticas
Threat Intelligence

Malware generado por IA en 2026: cómo el "vibeware" de APT36 está desbordando las defensas cibernéticas

APT36 está produciendo una nueva variante de malware cada día usando herramientas de codificación con IA —cada una escrita en un lenguaje distinto, cada una invisible para sus herramientas de detección. Esto es qué es el vibeware, cómo funciona y qué debe hacer su organización ahora.

Leer más

¿Listo para reforzar tu ciberseguridad?

Habla con nuestros expertos sobre cómo proteger tu organización con soluciones de seguridad de nivel empresarial.