Un error cr\u00edtico de ejecuci\u00f3n remota de c\u00f3digo (RCE)<\/strong> en React Server Components<\/em> est\u00e1 siendo utilizado para secuestrar servidores<\/strong>, drenar billeteras de criptomonedas<\/strong>, plantar mineros de Monero<\/strong> y profundizar una ola de robos que ha alcanzado los 3 mil millones de d\u00f3lares en 2025<\/strong>, a pesar de las urgentes s\u00faplicas de parches. Esta vulnerabilidad ha provocado advertencias urgentes<\/strong> en toda la industria de criptomonedas, ya que actores maliciosos explotan la falla para drenar billeteras y desplegar malware, seg\u00fan Security Alliance<\/em>.<\/p>\n Security Alliance<\/em> anunci\u00f3 que los drena-billeteras de criptomonedas est\u00e1n armando activamente CVE-2025-55182<\/strong>, instando a todos los sitios web a revisar su c\u00f3digo de front-end de inmediato en busca de activos sospechosos. La vulnerabilidad afecta no solo a los protocolos Web3, sino a todos los sitios web que utilizan React<\/em>, con atacantes apuntando a firmas de permisos en todas las plataformas. Los usuarios enfrentan riesgos al firmar transacciones, ya que el c\u00f3digo malicioso intercepta las comunicaciones de la billetera y redirige fondos a direcciones controladas por los atacantes, seg\u00fan investigadores de seguridad.<\/p>\n El equipo oficial de React<\/em> divulg\u00f3 CVE-2025-55182<\/strong> el 3 de diciembre, calific\u00e1ndolo con un CVSS de 10.0<\/strong> tras el informe de Lachlan Davidson del 29 de noviembre a trav\u00e9s de Meta Bug Bounty<\/em>. La vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo no autenticada explota c\u00f3mo React<\/em> decodifica las cargas \u00fatiles enviadas a los puntos finales de Server Function<\/em>, permitiendo a los atacantes elaborar solicitudes HTTP maliciosas que ejecutan c\u00f3digo arbitrario en los servidores. La falla afecta a las versiones de React<\/em> 19.0, 19.1.0, 19.1.1 y 19.2.0 en los paquetes react-server-dom-webpack<\/em>, react-server-dom-parcel<\/em> y react-server-dom-turbopack<\/em>. Los principales frameworks, incluidos Next.js<\/em>, React Router<\/em>, Waku<\/em> y Expo<\/em>, requieren actualizaciones inmediatas.<\/p>\n Los parches llegaron en las versiones 19.0.1, 19.1.2 y 19.2.1, con los usuarios de Next.js<\/em> necesitando actualizaciones a trav\u00e9s de m\u00faltiples l\u00edneas de lanzamiento desde 14.2.35 hasta 16.0.10. Investigadores han encontrado dos nuevas vulnerabilidades en React Server Components<\/em> mientras intentaban explotar los parches. Estos son nuevos problemas, separados de la cr\u00edtica CVE<\/strong>. El parche para React2Shell<\/em> sigue siendo efectivo para la explotaci\u00f3n de ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n Vercel<\/em> implement\u00f3 reglas de Firewall de Aplicaciones Web<\/strong> para proteger autom\u00e1ticamente los proyectos en su plataforma, aunque la compa\u00f1\u00eda enfatiz\u00f3 que la protecci\u00f3n WAF por s\u00ed sola sigue siendo insuficiente. Se requieren actualizaciones inmediatas a una versi\u00f3n parcheada, afirm\u00f3 Vercel<\/em> en su bolet\u00edn de seguridad del 3 de diciembre, a\u00f1adiendo que la vulnerabilidad afecta a aplicaciones que procesan entradas no confiables de maneras que permiten la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n El Grupo de Inteligencia de Amenazas de Google<\/em> document\u00f3 ataques generalizados que comenzaron el 3 de diciembre, rastreando grupos criminales que van desde hackers oportunistas hasta operaciones respaldadas por gobiernos. Grupos de hackers chinos instalaron varios tipos de malware en sistemas comprometidos, apuntando principalmente a servidores en la nube de Amazon Web Services<\/em> y Alibaba Cloud<\/em>. Estos atacantes emplearon t\u00e9cnicas para mantener acceso a largo plazo a los sistemas de las v\u00edctimas.<\/p>\n Criminales motivados financieramente se unieron a la ola de ataques a partir del 5 de diciembre, instalando software de miner\u00eda de criptomonedas que utiliza la potencia de c\u00f3mputo de las v\u00edctimas para generar Monero<\/em>. Estos mineros funcionan constantemente en segundo plano, aumentando los costos de electricidad mientras generan ganancias para los atacantes. Los foros de hacking subterr\u00e1neo se llenaron r\u00e1pidamente de discusiones compartiendo herramientas de ataque y experiencias de explotaci\u00f3n.<\/p>\n Se aconseja a las organizaciones que utilizan React<\/em> o Next.js<\/em> que parchen de inmediato a las versiones 19.0.1, 19.1.2 o 19.2.1, implementen reglas WAF, auditen todas las dependencias, monitoreen el tr\u00e1fico de red en busca de comandos wget<\/em> o cURL<\/em> iniciados por procesos del servidor web, y busquen directorios ocultos no autorizados o inyecciones de configuraci\u00f3n de shell maliciosas.<\/p>\n","protected":false},"excerpt":{"rendered":" Vulnerabilidad Cr\u00edtica en React Server Components Un error cr\u00edtico de ejecuci\u00f3n remota de c\u00f3digo (RCE) en React Server Components est\u00e1 siendo utilizado para secuestrar servidores, drenar billeteras de criptomonedas, plantar mineros de Monero y profundizar una ola de robos que ha alcanzado los 3 mil millones de d\u00f3lares en 2025, a pesar de las urgentes s\u00faplicas de parches. Esta vulnerabilidad ha provocado advertencias urgentes en toda la industria de criptomonedas, ya que actores maliciosos explotan la falla para drenar billeteras y desplegar malware, seg\u00fan Security Alliance. Detalles de la Vulnerabilidad Security Alliance anunci\u00f3 que los drena-billeteras de criptomonedas est\u00e1n armando<\/p>\n","protected":false},"author":3,"featured_media":12050,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[759,65,3373,9417,9419],"class_list":["post-12051","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-amazon-web-services","tag-hack","tag-monero","tag-security-alliance","tag-vercel"],"yoast_description":"Una vulnerabilidad cr\u00edtica en React Server Components est\u00e1 siendo explotada para llevar a cabo ataques que drenan billeteras, amenazando sitios web de criptomonedas y los fondos de los usuarios.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/12051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=12051"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/12051\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/12050"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=12051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=12051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=12051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Detalles de la Vulnerabilidad<\/h2>\n
Divulgaci\u00f3n y Parches<\/h2>\n
Impacto de los Ataques<\/h2>\n
Medidas de Protecci\u00f3n<\/h2>\n
Actividades del Crimen Organizado<\/h2>\n
Consecuencias Financieras<\/h2>\n
Recomendaciones de Seguridad<\/h2>\n