Hace días se dio a conocer una vulnerabilidad crítica conocida como React2Shell e identificada como CVE-2025-66478 que encendió las alarmas básicamente de todo internet. Por tercera vez en pocos meses (#1 #2). La falla afecta a aplicaciones construidas con React, y en particular a aquellas que utilizan Next.js. No se trata de un error menor, es una vulnerabilidad que permite ejecución remota de código, uno de los escenarios más graves en materia de seguridad.
En términos simples, esta vulnerabilidad permite que una persona, desde su computadora personal y sin necesidad de autenticarse, logre que un servidor ajeno a él ejecute código arbitrario. El problema está vinculado al uso de React Server Components, que es un mecanismo que permite a las aplicaciones desarrolladas con esta tecnología generar contenido en el servidor para mostrarlo en tu navegador. Si ese proceso no está correctamente validado, se abre la puerta a que código malicioso sea ejecutado como si fuera legítimo.
El impacto potencial es alto. Una explotación exitosa puede derivar en acceso a información sensible, modificación de datos, robo de credenciales o incluso control total del servidor afectado con todo lo que conlleva, como el ransomware. Si bien no todas las aplicaciones React están comprometidas (deben hacer uso de los mencionados Server Components), el alcance es amplio porque Next.js, una de las herramientas más utilizadas hoy en día para construir sitios y aplicaciones web, los utiliza.
Apenas se confirmó la vulnerabilidad, el equipo de Next.js publicó actualizaciones que corrigen el problema, y lo interesante es que publicaron correcciones para todas las subversiones (una para quienes usan la versión 15.1, otra para 15.2, otra para 15.3, etc.), por lo que todos pueden actualizarse sin riesgo de incompatibilidades (la lista está aquí). La solución es clara: Actualizar de inmediato. En este tipo de casos no alcanza con tenerlo en cuenta. La vulnerabilidad es realmente crítica y se sospecha que hay cantidad de hackers escaneando la web en busca de aplicaciones vulnerables para atacar.
Quiero mencionar que en Foxtrot actuamos de forma inmediata. Aunque no teníamos planeada una nueva publicación de versión, aplicamos la corrección directamente en producción apenas se conoció el problema. Para nosotros, la seguridad no es joda. Monitoreamos activamente vulnerabilidades, reaccionamos rápido y priorizamos siempre la protección de los sistemas y los datos. Este episodio vuelve a dejar en claro que en software moderno, estar atentos y actualizar a tiempo no es opcional, es parte de la responsabilidad básica de cualquier equipo tecnológico.