De ontwikkelaars van React hebben een kritieke kwetsbaarheid verholpen in bepaalde versies van React Server Components. React is ontwikkelsoftware (library) die veel wordt gebruikt voor het bouwen van gebruikersinterfaces van webapplicaties, zoals een webformulier. React is ook vaak onderdeel van grotere development frameworks zoals Next.js. De kwetsbaarheid is aangeduid met CVE-2025-55182 en heeft de maximale CVSS-score gekregen van 10.0. Het NCSC schaalt deze kwetsbaarheid in als 'High/High'. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.
Wat is het risico?
Om een webapplicatie te gebruiken, wordt data opgehaald van een aan het internet verbonden server. De kritieke kwetsbaarheid in React kan misbruikt worden om toegang te krijgen tot servers waarop deze ontwikkelsoftware draait. Door het versturen van een malafide HTTP-verzoek naar elk Server Function-endpoint, kan een aanvaller volledige controle over de kwetsbare server krijgen.
Welke versies zijn kwetsbaar?
De kwetsbaarheid zich bevindt in de React versies 19.0, 19.1.0, 19.1.1 en 19.2.0 van:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Verder gelden er nog enkele voorwaarden die van toepassing zijn op specifieke React-code, frameworks en bundlers. Lees meer hierover meer in het uitgebreide security advisory van het NCSC.
De kwetsbaarheid treft ook Next.js met App Router. Deze kwetsbaarheid is bekend onder kenmerk CVE-2025-66478. De kwetsbaarheid bevindt zich in de Next.js-versies 14.3.0-canary, 15.x en 16.x en is verholpen in de volgende gepatchte versies: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 en 16.0.7.
Wat kan je doen?
Als je gebruik maakt van bovenstaande kwetsbare pakketten, dan is het advies om zo spoedig mogelijk te upgraden naar een gepatchte React versie: 19.0.0, 19.1.2 of 19.2.1.
React heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Het NCSC adviseert om deze updates zo snel mogelijk te installeren. Lees hiervoor de instructies van React.
Weet je niet zeker of jouw bedrijf of organisatie gebruik maakt van React Server Components of twijfel je over de specifieke kwetsbare versies? Vraag dit dan zo snel mogelijk na bij je IT-dienstverlener.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb en ga aan de slag met je eigen actielijst.