PortSwigger ha actualizado Burp Suite incorporando mejoras en la extensión ActiveScan++ detectando las vulnerabilidades críticas React2Shell (CVE-2025-55182 y CVE-2025-66478). Estas fallas SSRF en aplicaciones React permiten la ejecución remota de comandos arbitrarios en servidores afectados. Investigadores y testers pueden identificar estos riesgos zero-day en escaneos rutinarios, fortaleciendo las defensas contra esta cadena de vulnerabilidades.
CVE y severidad
| CVE | Vulnerabilidad | CVSS v3.1 | Severidad | Componente afectado |
|---|---|---|---|---|
| CVE-2025-55182 | React2Shell SSRF-to-RCE | 9.8 | Crítica | Endpoints de servidor React |
| CVE-2025-66478 | React2Shell SSRF-to-RCE | 9.1 | Crítica | Manejadores de rutas React |
| CVE-2021-44228 | Log4Shell | 10.0 | Crítica | Librerías Log4j |
| CVE-2014-6271 | Shellshock (Bash) | 9.8 | Crítica | Sistemas Bash |
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| React | Framework de Aplicaciones Web | Endpoints de servidor React y manejadores de rutas React |
| Apache Software Foundation | Log4j | Librerías Log4j |
| GNU Project | Bash Shell | Sistemas Bash |
Solución
Actualizar ActiveScan++ a la última versión disponible desde el BApp Store y aplicar las correcciones pertinentes en los sistemas afectados.
Recomendaciones
Priorizar la actualización de herramientas de escaneo y el parcheo de sistemas React para mitigar riesgos SSRF; implementar validación estricta de entradas y listas blancas para solicitudes entrantes; considerar precaución al realizar pruebas con cabeceras host en entornos compartidos para evitar redirecciones no deseadas.