La comunidad de desarrolladores está atravesando un intenso cierre del año tras la divulgación de React2Shell, una vulnerabilidad crítica que afecta a React Server Components (RSC) que en menos de una semana ha desencadenado ataques en más de 50 organizaciones alrededor del mundo, según informó CyberScoop. Expertos en seguridad están viendo un crecimiento acelerado de actividad maliciosa, con actores de todos los perfiles, desde ciberdelincuentes hasta grupos respaldados por estados, intentando explotar el fallo antes de que las empresas logren parchearlo.

Uno de los datos que más alarma genera es que la mitad de las instancias vulnerables siguen sin actualizarse, incluso luego de que la CISA adelantara la fecha límite de parcheo debido a la urgencia del problema. Para los analistas, la situación recuerda a casos como Log4Shell: un error sencillo de explotar, con un alcance masivo y potencial para dejar puertas traseras en miles de sistemas. En palabras de investigadores de Fastly, se trata de una vulnerabilidad de “un clic, fin del juego”, es decir, fácil de convertir en un ataque devastador.

Y mientras algunas organizaciones reaccionan, los atacantes ya están aprovechando la ventana de oportunidad. Firmas como Unit 42 y Wiz han detectado múltiples campañas activas, que van desde botnets como Mirai hasta operaciones mucho más sofisticadas vinculadas a grupos de Corea del Norte y China. La motivación también es diversa: robo de datos sensibles, despliegue de criptomineros, extorsión y hasta intentos de infiltración prolongada camuflados en el tráfico normal de la aplicación.

Lo más preocupante es el alcance potencial del fallo. React2Shell no solo afecta a React Server Components, sino que golpea a frameworks muy populares como Next.js, React Router, RedwoodJS y otros utilizados en sitios y servicios de todo tipo. Shadowserver identificó más de 165.000 IPs y más de 600.000 dominios con código vulnerable.

Rapid7 y otros actores del sector reconocen que estamos ante un escenario de explotación simultánea desde todas las direcciones del mapa de amenazas. Y lo peor es que, en muchos casos, las víctimas ni siquiera sabrán que fueron comprometidas. Los atacantes pueden operar de manera silenciosa, mezclándose con el tráfico legítimo del sistema.

Frente a este panorama, el consejo para empresas y desarrolladores es claro: aplicar las actualizaciones disponibles, revisar logs, reforzar monitoreo y, sobre todo, no subestimar el riesgo. React2Shell está demostrando que incluso tecnologías modernas y ampliamente adoptadas pueden convertirse de un día para otro en un punto débil.

Actualización: nuevas vulnerabilidades

En las últimas horas se dio a conocer que se han identificado nuevas vulnerabilidades y el equipo de React lanzó parches para tres vulnerabilidades en React Server Components, dos de las cuales podrían resultar en denegación de servicio (DoS) y una en la exposición del código fuente. Las vulnerabilidades (CVE-2025-55184, CVE-2025-67779 y CVE-2025-55183) afectan a versiones específicas de react-server-dom-parcel, react-server-dom-turbopack y react-server-dom-webpack.

Se recomienda a los usuarios actualizar a las versiones 19.0.3, 19.1.4 y 19.2.3 lo antes posible. Y se pueden seguir todas las novedades a través del blog de React.