Un atacante remoto sin credenciales puede enviar peticiones maliciosas a los endpoints de Server Functions y consumir CPU por hasta un minuto. Aplicaciones Next.js y otros metaframeworks que usan RSC deben actualizar a 19.0.5, 19.1.6 o 19.2.5 inmediatamente.
Meta (Facebook) publicó el 8 de abril un advisory de seguridad que corrige una vulnerabilidad de denegación de servicio en React Server Components, trazada como CVE-2026-23869 y clasificada con severidad alta (CVSS 7.5). El fallo permite que un atacante remoto, sin necesidad de autenticación ni interacción del usuario, envíe peticiones HTTP especialmente diseñadas a los endpoints de Server Functions y provoque un consumo excesivo de CPU durante hasta un minuto por solicitud. El vector de ataque es de baja complejidad y se ejecuta completamente en red (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H), lo que convierte a los servidores expuestos en objetivos viables para campañas de agotamiento de recursos.
La vulnerabilidad reside en tres paquetes npm específicos del ecosistema React 19: react-server-dom-parcel, react-server-dom-turbopack y react-server-dom-webpack. Las versiones afectadas abarcan las ramas 19.0.0–19.0.4, 19.1.0–19.1.5 y 19.2.0–19.2.4. El equipo de React ha retroportado las correcciones a las versiones 19.0.5, 19.1.6 y 19.2.5, respectivamente.
Según el advisory oficial en GitHub, el mecanismo de explotación combina dos debilidades: deserialización de datos no confiables (CWE-502) y consumo incontrolado de recursos (CWE-400), esta última identificada también por CISA-ADP en el registro del NVD.
Investigadores de Imperva, quienes descubrieron y reportaron el fallo bautizándolo como "React2DoS", explican en su análisis técnico que el problema radica en cómo el protocolo Flight de React Server Components procesa ciertas cargas útiles. Cuando el servidor recibe una petición maliciosa, el proceso de deserialización dispara un bucle de cómputo intensivo que mantiene la CPU al máximo durante aproximadamente 60 segundos antes de lanzar un error recuperable.
Aunque el servidor no colapsa permanentemente, la degradación de rendimiento puede bloquear el acceso a usuarios legítimos, especialmente si un atacante automatiza múltiples solicitudes concurrentes.
No todas las aplicaciones React están expuestas. El riesgo existe únicamente en proyectos que utilizan React Server Components a través de un framework, bundler o plugin compatible con RSC. Aplicaciones que operan exclusivamente en el lado del cliente, sin componente de servidor permanecen fuera del alcance del fallo. Sin embargo, metaframeworks populares como Next.js sí se ven afectados: las versiones 15.0.0–15.5.14 y 16.0.0–16.2.2 requieren actualización a 15.5.15 y 16.2.3, respectivamente. Las ramas 13.x y 14.x de Next.js han alcanzado su fin de vida y no recibirán parche, por lo que los equipos que aún las utilizan deben planificar una migración inmediata.
Para entornos de producción en LATAM donde Next.js y React 19 se han adoptado masivamente en e-commerce, fintech y plataformas SaaS, la recomendación operativa es clara: auditar las dependencias del proyecto, identificar si se usan paquetes RSC y actualizar a las versiones parcheadas antes del próximo ciclo de despliegue.
En arquitecturas serverless como Netlify, el impacto nominal es menor debido al escalado automático de funciones, pero los costos de computación pueden incrementarse significativamente ante intentos de explotación. Los equipos de DevOps deben priorizar este parche en entornos con endpoints de Server Functions expuestos a internet.
FUENTE ORIGINAL
NVD / GitHub Security Advisory↗CURADO POR
Johan Ricardo