Volver al blog

Síguenos y suscríbete

Protección proactiva de Fastly para React2Shell, Critical React RCE CVE-2025-55182 y CVE-2025-66478

Kelly Shortridge

Chief Product Officer, Fastly

Seguridad

Actualización del 9 de diciembre: 

React2Shell sigue afectando a empresas de todo el mundo y tenemos nueva información sobre los sectores y las regiones más afectados. Ponte al día de todo aquí.

Actualización del 5 de diciembre: 

Fastly está observando indicios reales que sugieren que los atacantes están buscando sin descanso aplicaciones vulnerables con el fin de explotar React2Shell (CVE 2025-55182 y 2025-66478). Después de que se anunciara públicamente la PoC alrededor de las 21:04 UTC de ayer (4 de diciembre), Fastly detectó lo que, en ese momento, parecía ser un fuerte aumento de la actividad de los ataques.

En las 24 horas transcurridas desde entonces, el número de peticiones que activaron nuestras señales NGWAF para React2Shell se disparó en 2775 %.

Gráfico que abarca desde las 20:00 del 4 de dic. hasta las 20:00 del 5 de dic. Es una actualización desde la última publicación y muestra un aumento drástico del 2775 % en el volumen de intentos de React2Shell, con el máximo a las 19:00 del 5 de dic.

El equipo de investigación de seguridad de Fastly ha verificado que determinados PoC públicos permiten a los atacantes ejecutar comandos, extraer datos y obtener acceso de escritura en servidores vulnerables con un solo paso. Es urgente aplicar los parches inmediatamente. 

Clientes de Fastly

Nuestro objetivo es ofreceros un respiro para que podáis aplicar los parches: 

  1. En primer lugar, hemos ampliado nuestro parche virtual para CVE-2025-55182 para detectar la actividad de escaneo/búsqueda y cualquier intento de eludir nuestras protecciones NGWAF.

  2. En segundo lugar, la señal de «herramientas de ataque» integrada en el WAF de última generación detecta los escáneres que han aparecido en las últimas 24 horas para buscar aplicaciones vulnerables. Recomendamos investigar cualquier solicitud que haya activado esta señal, ya que puede indicar actividad de React2Shell.

  3. Por último, Fastly Bot Management marcó la herramienta de ataque React2Shell como «bot sospechoso», lo que ofrece a las organizaciones otra capa más de defensa. Te recomendamos que incorpores esta señal a tus reglas si aún no lo has hecho. 

La mejor solución disponible en este momento es actualizar tus aplicaciones a las versiones parcheadas correspondientes. Ya no se trata de «si» o «cuándo», sino de «con qué frecuencia». Seguiremos supervisando la actividad de los ataques a nivel mundial, invirtiendo en medidas de mitigación complementarias para nuestros clientes y compartiendo información con la comunidad pública.

Actualización del 4 de diciembre: 

Desde la publicación de este blog, los equipos de Fastly han estado vigilando de cerca los intentos de aprovechar React2Shell (CVEs 2025-55182 y 2025-66478). Aproximadamente a las 21:04 GMT del 4 de diciembre, se publicó lo que parece ser una PoC viable. Aunque hasta aproximadamente las 20:00 GMT apenas se registraron solicitudes que activaran nuestras señales NGWAF para estas vulnerabilidades, las señales activadas se dispararon precipitadamente después de que la PoC comenzara a circular. El siguiente gráfico representa los datos desde aproximadamente las 11:00 GMT hasta las 23:00 GMT del 4 de diciembre de 2025. Seguiremos compartiendo información relevante a medida que evolucione la situación.

Gráfico que muestra el volumen de peticiones que activan las señales de React2Shell. No muestra señales antes de las 19:00 GMT, un pico hasta 2112 entre las 19:00 y las 21:00, seguido de un repunte a las 22:00 y un repunte masivo hasta 36 792 a las 23:00.

    

¿Cómo debes actuar?

Fastly recomienda encarecidamente que priorices la identificación y actualización inmediata de tus aplicaciones React y Next.js. Si ya eres cliente de WAF de última generación, asegúrate de habilitar el parche virtual asociado para los dos CVE con el fin garantizar la protección de tus sistemas subyacentes hasta que estén completamente actualizados. Si no has aplicado ningún parche ni protección proactiva, debes asumir que tus sistemas vulnerables están potencialmente comprometidos. 

Seguiremos supervisando nuestra red global en busca de actividad de React2Shell e informaremos a la comunidad a medida que evolucione la situación.

Aunque a menudo oímos hablar de redes maliciosas de ciberdelincuentes que abusan de Internet, también debemos celebrar que existe una red de proveedores apasionados que aúnan esfuerzos para solucionar los problemas de Internet en tiempos de crisis. La nueva vulnerabilidad de ejecución remota de código (RCE) de React anunciada hoy es un ejemplo del poder de esta colaboración.

En la tarde del 1 de diciembre, Vercel se puso en contacto con nosotros y nos informó de la próxima divulgación de CVE-2025-55182 y CVE-2025-66478*, vulnerabilidades que ahora se denominan conjuntamente React2Shell.

Tras conocer la vulnerabilidad, Fastly inició inmediatamente una investigación de nuestros sistemas internos y trabajó para desarrollar contenido de detección con el fin de proporcionar un soporte rápido y proactivo a nuestros clientes. 

También ayudamos a conectar a otros partners tecnológicos clave directamente con Vercel para garantizar la máxima preparación en todos los sectores antes de la divulgación. Sabemos que para nuestros clientes no se trata solo de la respuesta de Fastly. También se trata de ser un buen partner para otras empresas que operan en este ámbito y ayudar a difundir la información pertinente a donde se necesita.

Agradecemos la estrecha colaboración con Vercel, así como con otros partners del ecosistema de software que aportaron su granito de arena para proteger a la mayor cantidad de organizaciones posible. 

En esta publicación, vamos a explicar con más detalle la vulnerabilidad, describir cómo React2Shell podría afectar a tu negocio y ofrecerte consejos para mitigar los intentos de explotación.

Lo que debes saber ahora

  • React CVE-2025-55182 y Next.js CVE-2025-66478 afectan a cualquier aplicación que use React 19 con React Server Components (RSC), lo cual afortunadamente representa una huella relativamente pequeña entre todas las aplicaciones JavaScript existentes.

  • Sin embargo, esperamos que los atacantes utilicen rápidamente esta vulnerabilidad como arma; si eres vulnerable, asume que pronto verás una avalancha de intentos de ataque.

  • Según nuestra investigación actual, la infraestructura central de la plataforma de Fastly no es vulnerable a React2Shell. Seguiremos investigando a medida que recopilemos más información.

Hemos lanzado un parche virtual para React2Shell en nuestro NGWAF con el fin de ayudar a nuestros clientes a mitigar los intentos de explotación. Puedes obtener más información al respecto en nuestra página de estado y en la FSA dentro de nuestro portal de clientes.

Cómo obtener protección activa ahora

Para mitigar el riesgo de tus aplicaciones protegidas por NGWAF, te recomendamos que apliques inmediatamente el parche virtual para CVE-2025-55182 y CVE-2025-66478** a todos los servicios de borde y entorno local que puedan ser vulnerables. El contenido de detección de esta regla de plantilla específica para CVE busca patrones concretos en los encabezados de las solicitudes y los cuerpos POST que puedan indicar posibles intentos de explotación de las CVE de React2Shell.

El equipo de investigación de seguridad de Fastly ha desarrollado y probado este contenido en estrecha colaboración con Vercel. Agradecemos esta colaboración, que garantiza que nuestros clientes en común tengan acceso a protección tras la divulgación. Nuestro equipo de investigación de seguridad actualizará el parche virtual de forma continua según sea necesario. Cualquier cliente que se haya suscrito recibirá las actualizaciones posteriores de forma automática. 

Fastly seguirá investigando nuevas capas de defensa que podamos ofrecer a nuestros clientes para detectar y bloquear el tráfico de ataques relacionados con este React2Shell. Seguiremos desarrollando y perfeccionando el contenido NGWAF pertinente a medida que observemos intentos de explotación.

Análisis en profundidad de React2Shell

React CVE-2025-55182 y Next.js CVE-2025-66478 reflejan un error de contaminación de prototipos poco común. La mayoría de los errores de contaminación de prototipos requieren un error adicional para que el atacante pueda hacer algo útil, como ejecutar código arbitrario o acceder a datos confidenciales.

Esta vulnerabilidad de React RCE es atípica para un prototipo de error de contaminación porque el atacante puede conseguir lo que quiere en un solo paso, y ese paso funciona, según nuestro entendimiento, en cualquier sistema que use React 19 con RSC.

Los atacantes pueden realizar una única solicitud para obligar al servidor React a ejecutar el código JavaScript que elijan. Este error significa que los atacantes no necesitan llevar a cabo un reconocimiento de la aplicación ni autenticarse correctamente. Para activar el error, lo único que necesitan es saber que tu aplicación utiliza RSC y enviar una solicitud HTTP con la serie precisa de instrucciones Flight serializadas.

Dado que React2Shell no requiere otra vulnerabilidad para que los atacantes puedan ejecutar código de forma remota, creemos que les resultará muy útil como arma. En pocas palabras, el error permite a los atacantes añadir y ejecutar fácilmente código JavaScript arbitrario en un servidor vulnerable. En términos más técnicos, este error aprovecha la biblioteca Flight, y concretamente su código de deserialización, para llamar a la función constructor de JavaScript mientras el servidor decodifica la llamada a la función React Server entrante del atacante.

Si usas React 19, te recomendamos que apliques el parche de inmediato y uses las protecciones activas que te indicamos a continuación.

Guía de Fastly para React2Shell: CVE-2025-55182 y CVE-2025-66478

Al conocer esta vulnerabilidad, investigamos rápidamente la infraestructura de nuestra plataforma central y no encontramos pruebas de que seamos directamente vulnerables a React CVE-2025-55182 y Next.js CVE-2025-66478. Continuaremos con nuestra investigación a medida que recabemos más información. 

Tenemos, sin embargo, muchos clientes que ejecutan aplicaciones JavaScript en nuestra plataforma. Aquí te mostramos cómo saber si usas React 19 y podrías ser vulnerable a React2Shell:

  • Elabora un inventario de todas las aplicaciones que utilizan React Server Functions o Next.js, por ejemplo, utilizando la búsqueda de GitHub. Un método directo y fiable consiste en realizar una búsqueda específica en su código base para encontrar las dependencias de paquetes relevantes dentro del archivo package.json.

  • Ten en cuenta que incluso una aplicación Next.js vacía y recién instalada puede ser vulnerable; lo único que requiere el atacante es el servidor necesario para los React Server Components, aunque no uses React Server Functions

En cualquier entorno multiinquilino, es natural preocuparse por que tu proverbial «vecino» pueda ser vulnerable, aunque tú no lo seas, con los efectos en cadena que ello conlleva. Sin embargo, con Fastly, estás a salvo de los efectos de contagio directos. Fastly diseñó su plataforma Compute desde el principio teniendo en cuenta la noción de cargas de trabajo no fiables. No importa si tus vecinos son maliciosos o están comprometidos, porque la arquitectura de entorno aislado de Fastly está diseñada para protegerte. 

Dada la naturaleza de la vulnerabilidad, parece probable que los intentos de explotación sean una cuestión de «cuándo», no de «si». Si necesitas más tiempo para aplicar parches a tus aplicaciones React o Next.js, te recomendamos que apliques protecciones activas de inmediato, incluso a través de NGWAF de Fastly, como te explicamos antes, para minimizar el impacto de los ataques en tu negocio (y arruinar el retorno de la inversión de los ciberatacantes que usan estas vulnerabilidades como armas).

Qué nos deparará el futuro

Sabemos que nuestros clientes nos confían la resiliencia de sus servicios críticos para el negocio, y una parte fundamental de la misión de nuestra empresa es apoyarles cuando surgen sorpresas como CVE-2025-55182 y CVE-2025-66478. Nuestros equipos están a tu disposición para ayudarte a mitigar React2Shell, tanto si eres un cliente veterano de la plataforma Fastly como si eres nuevo y necesitas protección inmediata. Cuéntanos en qué podemos ayudarte.

Estamos agradecidos de poder formar parte de esta red de proveedores de servicios en la nube que se esfuerzan por minimizar el impacto de los ciberataques y el ciberabuso en todo el mundo. Con el fin de mantener la resiliencia de Internet y la colaboración del ecosistema, Fastly supervisará de forma proactiva nuestra red global en busca de intentos de explotación de la vulnerabilidad React2Shell y ofrecerá actualizaciones posteriores de la actividad que observemos, de forma similar a la información que publicamos durante el incidente Log4Shell. Estad atentos.

* Personalmente, me refiero a ellas conjuntamente como «Desencurtido picante», para tomar prestada la terminología de Python.

** Para una protección inmediata, publicamos el parche virtual con el número de CVE que teníamos disponible: CVE-2025-66478 de Next.js. Estamos trabajando en la consolidación de CVE-2025-66478 en CVE-2025-55182, la CVE de React.

© Fastly 2025