Tu app de Next.js viene con una vulnerabilidad CVSS 10.0
Si eres un lead de ingeniería siguiendo las discusiones sobre CVE-2025-55182 en tu canal de seguridad en Slack, has llegado al momento de tomar una decisión sobre tu framework.
Why leave Next.js?
- Patch CVE-2025-55182 every release cycle while RSC protocol security holes stay open
- Restart Docker containers every 48–72 hours to clear Next.js memory leaks
- Fight Vercel-centric defaults when your infrastructure runs on AWS or Fly.io
- Wait 90+ seconds for Webpack builds when your team ships 15 times a day
- Debug RSC hydration mismatches that vanish in dev but break production
- Hit middleware limitations that block your authentication patterns mid-sprint
What you gain
- Type-safe route params and loaders from Postgres to browser without runtime guards
- Ship Vite builds in 12–18 seconds instead of 90 with instant HMR feedback
- Deploy to any Node.js host without adapter shims or vendor-specific config
- Replace RSC complexity with route loaders your junior devs understand in one afternoon
- Run Docker containers for 60+ days without memory leaks or forced restarts
- Own your entire data flow with TanStack Router's type inference from API to component
Las preocupaciones sobre Next.js que te trajeron aquí
CVE-2025-55182 expuso una vulnerabilidad crítica en el protocolo de React Server Components de Next.js — CVSS 10.0, la puntuación de severidad máxima. Los despliegues en Docker están afectados por fugas de memoria que requieren reinicios periódicos de los contenedores. Los valores predeterminados centrados en Vercel hacen que el self-hosting sea complicado. Son preocupaciones legítimas que un número creciente de equipos está tomando en serio.
Lo que ofrece TanStack Start
TanStack Start es un framework React full-stack construido sobre TanStack Router (el router con mayor type safety del ecosistema React). Ofrece enrutamiento basado en archivos, funciones de servidor, type safety full-stack desde la base de datos hasta la UI, y despliegue en cualquier proveedor de hosting sin adaptadores específicos del proveedor. Utiliza Vinxi (un framework de servidor basado en Vite) por debajo.
El trade-off honesto
TanStack Start es más reciente y tiene un ecosistema más pequeño que Next.js. La documentación todavía está madurando. Los recursos de la comunidad son menores. Si estás migrando desde Next.js, estás cambiando tamaño de ecosistema por pureza arquitectónica e independencia del proveedor. Este es el trade-off correcto para algunos equipos y el incorrecto para otros — te ayudo a evaluarlo con honestidad.
The migration process
Discovery & Audit
We map every page, post, media file, redirect, and plugin. Nothing gets missed.
Architecture Plan
New stack designed for your content structure, SEO requirements, and performance targets.
Staged Migration
Content migrated in batches. Each batch verified before the next begins.
SEO Preservation
301 redirects, canonical tags, sitemap, robots.txt — every ranking signal carried over.
Launch & Monitor
DNS cutover with zero downtime. 30-day monitoring period included.
Next.js vs TanStack Start
| Metric | Next.js | TanStack Start |
|---|---|---|
| Build system | Webpack/Turbopack | Vite (faster) |
| Type safety | Partial (pages/routes) | Full-stack (DB to UI) |
| Vendor lock-in | Vercel-optimised | Deploy anywhere |
| Docker stability | Memory leaks reported | Clean Node.js server |
| Data loading | RSC + use + server actions | Route loaders (simpler) |
| Ecosystem size | Largest (React) | Growing (smaller) |
Common questions
¿Qué es CVE-2025-55182?
CVE-2025-55182 es una vulnerabilidad de seguridad crítica (CVSS 10.0) en el protocolo de React Server Components de Next.js. Permite server-side request forgery y potencial ejecución remota de código en ciertas configuraciones. Fue parcheada, pero expuso preocupaciones arquitectónicas sobre la superficie de seguridad del protocolo RSC.
¿Cuáles son las fugas de memoria de Next.js en Docker?
Las aplicaciones Next.js que corren en contenedores Docker presentan fugas de memoria que provocan un consumo creciente de memoria con el tiempo, requiriendo eventualmente reinicios. Es un problema conocido con múltiples issues en GitHub y soluciones parciales. Afecta principalmente a los despliegues self-hosted.
¿TanStack Start está listo para producción?
TanStack Start está en versión estable y lo utilizan en producción varias empresas. Sin embargo, el ecosistema es más pequeño que el de Next.js. Evalúo tus requisitos específicos y te digo con honestidad si TanStack Start es la opción adecuada o si el riesgo de migración supera los beneficios.
¿Qué diferencia a TanStack Start de Next.js?
Type safety full-stack desde la base de datos hasta la UI (mediante el sistema de tipos de TanStack Router), sistema de build basado en Vite (más rápido que Webpack/Turbopack para la mayoría de proyectos), sin vendor lock-in (se despliega en cualquier lugar sin adaptadores) y un modelo mental más sencillo para la carga de datos mediante route loaders.
¿Puedo seguir usando React con TanStack Start?
Sí. TanStack Start es un framework React. Tus componentes React, hooks y librerías se migran directamente. Los cambios están en el enrutamiento, la carga de datos y el código del lado del servidor — no en tus componentes de UI.
¿Cuánto tiempo lleva la migración?
Una aplicación Next.js de tamaño mediano (20-50 rutas, API routes, server components) tarda entre 4 y 8 semanas. La capa de enrutamiento y los patrones de carga de datos son el principal esfuerzo de migración. Los componentes de UI suelen migrarse con cambios mínimos.
Ready to migrate?
Free assessment. We'll audit your current site and give you a clear migration plan — no commitment.
Let's build
something together.
Whether it's a migration, a new build, or an SEO challenge — the Social Animal team would love to hear from you.