- Vulnerabilidad "Perfect 10" en React Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en los componentes del servidor de React, con una puntuación de gravedad máxima de 10 sobre. Esta falla permite a los atacantes ejecutar código malicioso en servidores sin necesidad de autenticación mediante una sola solicitud HTTP especialmente diseñada. La vulnerabilidad, rastreada como CVE-2025-55182, afecta a versiones recientes de React y a marcos populares como Next.js, y ya está siendo explotada activamente por actores de amenazas, incluidos grupos vinculados a China. Además, un intento de Cloudflare de mitigar este problema mediante una actualización de su firewall provocó accidentalmente una interrupción del servicio de 25 minutos para muchos de sus clientes.
Un "servidor React" (o más precisamente, React Server Components y el Server-Side Rendering con React) es un concepto que cambia la forma en que tradicionalmente se construían las aplicaciones web con React.
¿Qué es la vulnerabilidad "Perfect 10" (React2Shell)?
Es un fallo crítico de seguridad descubierto en React Server Components (RSC), la tecnología que permite renderizar componentes de React en el servidor.
- Nombre técnico: CVE-2025-55182 (y CVE-2025-66478 para Next.js).
- Gravedad: Crítica (10/10). Esto significa que es extremadamente peligrosa y fácil de explotar.
- Fecha de divulgación: Diciembre de 2025.
- El problema: Un atacante puede enviar una petición HTTP maliciosa (específicamente manipulando el protocolo "Flight" que usa React para comunicarse entre servidor y cliente) y lograr que el servidor ejecute código arbitrario.
- Consecuencia: Ejecución Remota de Código (RCE). Básicamente, un hacker podría tomar el control total de tu servidor con una sola petición, sin necesitar contraseña ni usuario.
¿A quién afecta?
Afecta a aplicaciones que utilizan React 19 y frameworks que implementan React Server Components, principalmente:
- Next.js: Versiones 15.x, 16.x y versiones Canary recientes.
- Otros: Cualquier herramienta que use los paquetes react-server-dom-webpack, react-server-dom-parcel o react-server-dom-turbopack.
¿Por qué se llama "Perfect 10"?
El sistema CVSS (Common Vulnerability Scoring System) califica las vulnerabilidades del 0 al 10. Un "10 perfecto" es raro y se reserva para fallos que:
- Se pueden explotar de forma remota (a través de internet).
- No requieren autenticación (no necesitas usuario/contraseña).
- No requieren interacción del usuario (la víctima no tiene que hacer clic en nada).
- Permiten el compromiso total del sistema.
- Precios de la memoria RAM El auge de la inteligencia artificial ha provocado una explosión en la demanda de memoria, haciendo que los precios de la RAM suban drásticamente y fluctúen diariamenteen los restaurantes. Los centros de datos de IA están acaparando la capacidad de producción, lo que ha llevado a que algunos kits de memoria para consumidores tripliquen su precio en pocos meses. Se advierte que esta escasez podría afectar pronto los costos de consolas de videojuegos, tarjetas gráficas y otros dispositivos electrónicos.
- Salida de GrapheneOS de Francia El proyecto de sistema operativo móvil centrado en la privacidad, GrapheneOS, anunció que retirará su infraestructura de Francia debido a la hostilidad de las autoridades y leyes que buscan debilitar el cifrado. Los desarrolladores citaron el acoso policial y demandas para desbloquear dispositivos, explicando que su sistema...
