Se ha identificado una vulnerabilidad de alta severidad en React Server Components que permite a atacantes remotos no autenticados provocar condiciones de denegación de servicio (DoS). El fallo puede ser explotado mediante el envío de solicitudes HTTP especialmente diseñadas, generando un consumo excesivo de recursos en el servidor backend y afectando la disponibilidad de aplicaciones web modernas.
CVE y severidad
| ID | Severidad | Componentes afectados | Vector de ataque | Impacto |
|---|---|---|---|---|
| CVE-2026-23869 | Alta | React Server Components (react-server-dom-*) | Envío de múltiples solicitudes HTTP hacia endpoints de Server Functions | Consumo excesivo de CPU, degradación del servicio y posible DoS |
Productos afectados
| Fabricante | Producto | Componentes | Versiones afectadas |
|---|---|---|---|
| Meta Platforms (React) | React | react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack | 19.0.0–19.0.4, 19.1.0–19.1.5, 19.2.0–19.2.4 |
Solución
Actualizar los paquetes afectados a las versiones 19.0.5, 19.1.6 o 19.2.5 según corresponda.
Recomendaciones
Se recomienda priorizar la actualización inmediata de las dependencias afectadas para mitigar el riesgo de ataques DoS, realizar auditorías frecuentes de seguridad en las dependencias y monitorear el uso de recursos del servidor tras la actualización para confirmar la efectividad del parche.