De ontwikkelaars van React alsmede allerlei overheidsinstanties en techbedrijven wereldwijd waarschuwen voor een kritieke kwetsbaarheid in React Server Components waardoor remote code execution (RCE) mogelijk is. De impact van het beveiligingslek (CVE-2025-55182) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Er zijn beveiligingsupdates beschikbaar gesteld en beheerders worden opgeroepen die zo snel mogelijk te installeren.

React is een zeer populaire JavaScript library voor het ontwikkelen van user interfaces van webapplicaties. React Server Components maakt het mogelijk voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen. Een kwetsbaarheid in React Server Components versies 19.0.0, 19.1.0, 19.1.1 en 19.2.0 zorgt ervoor dat een aanvaller door het versturen van een HTTP request code op de server kan uitvoeren.

"Als bovengenoemde pakketten worden gebruikt, upgrade dan onmiddellijk. Deze kwetsbaarheid is verholpen in de versies 19.0.1, 19.1.2 en 19.2.1. Als de React-code van uw applicatie geen server gebruikt, is uw applicatie niet kwetsbaar voor deze kwetsbaarheid. Eveneens, als uw applicatie geen framework, bundler of bundler-plugin gebruikt die React Server Components ondersteunt, is uw applicatie niet getroffen", aldus het Nationaal Cyber Security Centrum (NCSC).

Het probleem is ook aanwezig in React-frameworks en zogenoemde bundlers, zoals Next, React Router en Waku. De ontwikkelaars van React laten weten dat React 'integration points' en tools biedt zodat frameworks en bundlers React-code op zowel de client als server kunnen laten draaien. React vertaalt requests op de client naar HTTP requests die dan naar de server worden geforward. Op de server vertaalt React de HTTP requests naar een function call en geeft de benodigde data vervolgens terug aan de client.

"Een ongeauthenticeerde aanvaller kan een kwaadaardig HTTP request naar elk Server Function endpoint sturen dat, wanneer gedeserialized door React, voor remote code execution op de server zorgt", aldus de ontwikkelaars. Die zeggen dat ze verdere technische informatie zullen verstrekken zodra de uitrol van de beveiligingsupdates is afgerond. Naast het NCSC hebben ook de Australische en Italiaanse overheid waarschuwingen afgegeven, alsmede techbedrijven zoals Cloudflare, Fastly en Google.