Vulnerabilidad crítica en React permitía ejecutar código remoto en millones de sitios

El investigador de seguridad Lachlan Davidson descubrió una vulnerabilidad crítica de ejecución remota de código en React, conocida como 'React2Shell', que afectaba a millones de sitios web construidos con Next.js. El hallazgo fue reportado a Meta el 30 de noviembre de 2025, y la empresa publicó una corrección y el aviso CVE-2025-55182 tres días después, instando a los desarrolladores a actualizar inmediatamente. La vulnerabilidad residía en el protocolo 'Flight', utilizado por React Server Components y Server Functions para transmitir datos entre cliente y servidor. El investigador encontró una 'omisión flagrante' en las comprobaciones de seguridad: el protocolo permitía referenciar propiedades heredadas de prototipos, como Number.prototype.toString, y colocarlas en objetos controlados por el atacante. Esto posibilitaba la ejecución arbitraria de funciones en el servidor al aprovechar aplicaciones con validación insuficiente de entradas. Davidson comenzó su investigación por curiosidad, solo quería comprender el protocolo Flight, sin intención inicial de buscar vulnerabilidades. Destacó que la anotación TypeScript proporciona una ilusión de seguridad de tipos que no se aplica en tiempo de ejecución, permitiendo a los atacantes enviar objetos maliciosos donde se esperaban tipos simples.