Kritieke kwetsbaarheid in React Server Components en Next.js
React heeft een kwetsbaarheid verholpen in React Server Components. De kwetsbaarheid, geregistreerd als CVE-2025-55182 treft ook Next.js met App Router
T-Update
Deze liveblog bevat informatie over een kwetsbaarheid in React Server Components en Next.js. React heeft beveiligingsupdates uitgebracht om deze kwetsbaarheid te verhelpen.
Laatste update blog op 5 December
Update 5 december 2025
Inmiddels is er publieke proof-of-concept code (POC) beschikbaar voor CVE-2025-55182, wat het risico op grootschalig misbruik verhoogt.
Update op 4 december 2025
Kritieke kwetsbaarheid in React Server Components en Next.js
React heeft een kwetsbaarheid verholpen in React Server Components. De kwetsbaarheid bevindt zich in de React versies 19.0, 19.1.0, 19.1.1 en 19.2.0 van:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
De kwetsbaarheid treft ook Next.js met App Router. De kwetsbaarheid bevindt zich in de Next.js-versies 14.3.0-canary, 15.x en 16.x en is verholpen in de volgende gepatchte versies:14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 en 16.0.7.
De volgende CVE is van toepassing
Actieve uitbuiting
Op dit moment lijkt er nog geen actieve exploit of PoC te zijn voor deze kwetsbaarheid. Wel is het mogelijk om de aanwezigheid van deze kwetsbaarheid te verifiëren middels een geprepareerd HTTP verzoek.
Achtergrond
React heeft een kritieke kwetsbaarheid verholpen in React Server Components. De kwetsbaarheid bevindt zich in de React versies 19.0, 19.1.0, 19.1.1 en 19.2.0. De kwetsbaarheid treft ook Next.js met App Router. De kwetsbaarheid bevindt zich in de Next.js-versies 14.3.0-canary, 15.x en 16.x en is verholpen in de volgende gepatchte versies: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 en 16.0.7.
Risico
Een ongeauthenticeerde aanvaller kan een malafide HTTP-verzoek sturen naar elk Server Function-endpoint dat, wanneer het door React wordt verwerkt, kan leiden tot remote code execution op de server. Echter, zelfs als een Server Function-endpoint niet is geïmplementeerd, kan exploitatie nog steeds mogelijk zijn via React Server Components. Door deze fout kunnen aanvallers op afstand willekeurige code uitvoeren, wat de integriteit van de getroffen applicaties ernstig in gevaar brengt.
Advies
React heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Het advies is om deze updates zo snel mogelijk te installeren. Zie de instructies van React voor meer informatie.
Als bovengenoemde pakketten worden gebruikt, upgrade dan onmiddellijk. Deze kwetsbaarheid is verholpen in de versies 19.0.1, 19.1.2 en 19.2.1. Als de React-code van uw applicatie geen server gebruikt, is uw applicatie niet kwetsbaar voor deze kwetsbaarheid. Eveneens, als uw applicatie geen framework, bundler of bundler-plugin gebruikt die React Server Components ondersteunt, is uw applicatie niet getroffen.
De volgende React-frameworks en bundlers zijn getroffen:
- Next
- ReactRouter
- Waku
- @parcel/rsc
- @vitejs/plugin-rsc
- rwsdk
De kwetsbaarheid treft ook Next.js met App Router. De kwetsbaarheid bevindt zich in de Next.js-versies 14.3.0-canary, 15.x en 16.x en is verholpen in de volgende gepatchte versies:14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 en 16.0.7.
Bronnen
- https://advisories.ncsc.nl/2025/ncsc-2025-0380.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-55182
- https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
- https://react2shell.com/
- https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
