CVE-2025-55182: RCE en componentes de React Server
ID de boletín: AWS-2025-030
Alcance:
AWS
Tipo de contenido:
Importante (requiere atención)
Fecha de publicación: 03/12/2025 19:45 h PST
Descripción:
AWS tiene conocimiento de la vulnerabilidad CVE-2025-55182 divulgada recientemente, la cual afecta al protocolo React Server Flight en las versiones 19.0, 19.1 y 19.2 de React, así como a las versiones 15.x y 16.x de Next.js, y Next.js 14.3.0-canary.77 y versiones canario posteriores cuando se utiliza App Router. Este problema puede permitir la ejecución remota de código (RCE) no autorizada en los servidores de aplicaciones afectados.
AWS tiene conocimiento de la vulnerabilidad CVE-2025-66478, la cual se ha rechazado por ser un duplicado de CVE-2025-55182.
Los clientes que utilizan los servicios administrados de AWS no se ven afectados y no es necesario realizar ninguna acción. Los clientes que ejecuten una versión afectada de React o Next.js en sus propios entornos deben actualizar de inmediato a las últimas versiones parcheadas:
- Los clientes que utilicen React 19.x con Server Functions y componentes RSC deben actualizar a las versiones parcheadas más recientes: 19.0.1, 19.1.2 y 19.2.1.
- Los clientes que usen Next.js 15-16 con App Router deben actualizar a una versión parcheada
La versión predeterminada (1.24) de AWS WAF “AWSManagedRulesKnownBadInputsRuleSet” ahora incluye la regla actualizada para este problema. Como medida de protección provisional, los clientes pueden implementar una regla de AWS WAF personalizada para ayudar a detectar y prevenir los intentos de explotación, cuando proceda. Consulte “Agregar una regla de AWS WAF personalizada” a continuación.
AWS supervisa de manera activa las actualizaciones sobre este problema. Si necesita más información o ayuda, abra un caso de AWS Support.
Agregar una regla personalizada de AWS WAF (Web Application Firewall)
Para aumentar la protección de manera más robusta contra este problema, puede implementar una regla de AWS WAF personalizada. La siguiente regla de AWS WAF está actualmente establecida en BLOCK. Recomendamos probar esta regla personalizada para garantizar que no cause interrupciones en su entorno.
.
{
"Name": "ReactJSRCE_CUSTOM",
"Priority": 99,
"Statement": {
"AndStatement": {
"Statements": [
{
"RegexMatchStatement": {
"RegexString": "POST",
"FieldToMatch": {
"Method": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)(?:next-action|rsc-action-id)",
"FieldToMatch": {
"Headers": {
"MatchPattern": {
"All": {}
},
"MatchScope": "KEY",
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)\"status\"\\s*:\\s*\"resolved_model\"",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "\\$\\@",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"RuleLabels": [
{
"Name": "ReactJSRCE_Custom"
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "ReactJS_Custom"
}
}Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.