Scanner rápido para detectar CVE-2025-55182 (React Server Components) y CVE-2025-66478 (Next.js).
⚠️ Vulnerabilidad crítica que permite ejecución remota de código (RCE) en aplicaciones React/Next.js con Server Components.
| Plataforma | Enlace |
|---|---|
| 🐧 Linux/macOS | Ir a instrucciones |
| 🪟 Windows | Ir a instrucciones |
Secciones:
# Dar permisos de ejecución (solo la primera vez)
chmod +x react2shell-scanner.sh
# Escanear directorio actual
./react2shell-scanner.sh
# Escanear directorio específico
./react2shell-scanner.sh ~/proyectos
# Escanear y guardar reporte
./react2shell-scanner.sh ~/proyectos reporte.txt# Escanear directorio actual
.\react2shell-scanner.ps1
# Escanear directorio específico
.\react2shell-scanner.ps1 C:\proyectos
# Escanear y guardar reporte
.\react2shell-scanner.ps1 C:\proyectos reporte.txt
# Ver ayuda
.\react2shell-scanner.ps1 -Help⚠️ Si tienes problemas con la política de ejecución
# Opción 1: Permitir solo para esta sesión
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
# Opción 2: Ejecutar directamente
powershell -ExecutionPolicy Bypass -File .\react2shell-scanner.ps1| Paquete | Versiones Vulnerables | Versiones Seguras |
|---|---|---|
| Next.js | 15.0.0-15.0.4, 15.1.0-15.1.8, 15.2.0-15.2.5, 15.3.0-15.3.5, 15.4.0-15.4.7, 15.5.0-15.5.6, 16.0.0-16.0.6 | 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7+ |
| react-server-dom-webpack | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1+ |
| react-server-dom-parcel | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1+ |
| react-server-dom-turbopack | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 19.0.1, 19.1.2, 19.2.1+ |
# Actualizar Next.js
cd proyecto-vulnerable
npm update next
# O especificar versión segura
npm install next@15.5.7
# Para React Server Components
npm update react-server-dom-webpack- Next.js con App Router (versiones 15.x o 16.x)
- React Server Components directamente
- React tradicional (client-side only)
- Next.js con Pages Router
- Proyectos sin Next.js/RSC (Laravel+React, Vite+React, CRA, etc.)
- Versiones de Next.js anteriores a 15.0.0
| Recurso | Descripción |
|---|---|
| 🌐 react2shell.com | Información detallada sobre la vulnerabilidad |
| 🔒 React Security Advisory (GHSA-fv66-9v8q-g76r) | Advisory oficial de React |
| 🔒 Next.js Security Advisory (GHSA-9qr9-h5gf-34mp) | Advisory oficial de Next.js/Vercel |
MIT