Plataforma
react
Componente
@vitejs/plugin-react
Corregido en
0.5.7
La vulnerabilidad CVE-2025-67489 es una ejecución remota de código (RCE) que afecta a la librería @vitejs/plugin-rs, específicamente a las versiones 0.5.5 y anteriores. Esta librería proporciona soporte para React Server Components (RSC) en Vite. La vulnerabilidad se encuentra en las funciones de API del servidor (loadServerAction, decodeReply, decodeAction) y permite a atacantes con acceso a la red al servidor de desarrollo ejecutar código arbitrario.
Un atacante puede explotar esta vulnerabilidad para obtener control sobre el servidor de desarrollo. Esto implica la capacidad de leer y modificar archivos, exfiltrar datos sensibles como código fuente, variables de entorno y credenciales, e incluso pivotar hacia otros servicios internos. Aunque la vulnerabilidad solo afecta al servidor de desarrollo, el impacto potencial es significativo, especialmente si el servidor de desarrollo contiene información confidencial o está conectado a una red interna. La explotación se realiza a través de importaciones dinámicas inseguras en las APIs de funciones del servidor dentro de aplicaciones RSC que exponen puntos finales de funciones del servidor.
Esta vulnerabilidad ha sido publicada el 9 de diciembre de 2025. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de RCE la convierte en un objetivo atractivo. La vulnerabilidad se encuentra en un componente de desarrollo, lo que podría reducir la probabilidad de explotación en comparación con vulnerabilidades en componentes de producción. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
Development teams using @vitejs/plugin-react to build React Server Component applications are at risk. Specifically, those using versions 0.5.5 or earlier and exposing server function endpoints are particularly vulnerable. Shared hosting environments where developers have access to the development server are also at increased risk.
• react / development server:
# Check for vulnerable plugin versions in package.json
grep '@vitejs/plugin-react' package.json• react / development server:
# Monitor server logs for suspicious dynamic import calls
# (specific patterns will depend on RSC implementation)
grep 'dynamic import' server.logdisclosure
Estado del Exploit
EPSS
0.43% (62% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.5.6 de @vitejs/plugin-rs, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda aislar el servidor de desarrollo de la red externa para limitar el acceso de los atacantes. Además, se debe revisar cuidadosamente el código de las funciones del servidor para identificar y eliminar cualquier importación dinámica insegura. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear intentos de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las importaciones dinámicas en las funciones del servidor se manejan de forma segura.
Actualice el paquete `@vitejs/plugin-react` a la versión 0.5.6 o superior. Esto corrige la vulnerabilidad de ejecución remota de código. Ejecute `npm install @vitejs/plugin-react@latest` o `yarn add @vitejs/plugin-react@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67489 is a critical Remote Code Execution vulnerability in @vitejs/plugin-react versions up to 0.5.5, allowing attackers to execute arbitrary code on the development server through unsafe dynamic imports in React Server Components.
You are affected if you are using @vitejs/plugin-react version 0.5.5 or earlier and your application exposes server function endpoints.
Upgrade to @vitejs/plugin-react version 0.5.6 or later. If upgrading is not possible, implement strict input validation and sanitization for server function APIs.
There are currently no known active exploits, but the vulnerability's severity and ease of exploitation make it a high-priority concern.
Refer to the official ViteJS security advisories and release notes for details: [https://vitejs.dev/security](https://vitejs.dev/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.