Een kritieke kwetsbaarheid in React is een paar uur na de bekendmaking actief misbruikt door aanvallers, zo stelt Amazon. Volgens het bedrijf hebben meerdere groepen aanvallers het beveiligingslek (CVE-2025-55182) inmiddels gebruikt bij aanvallen. React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js.

CVE-2025-55182 bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen. "Om een webapplicatie te gebruiken, wordt data opgehaald van een aan het internet verbonden server. De kritieke kwetsbaarheid in React kan misbruikt worden om toegang te krijgen tot servers waarop deze ontwikkelsoftware draait", zo laat het Nationaal Cyber Security Centrum (NCSC) weten.

Een aanvaller zou in dit geval naar een kwetsbare React-versie een speciaal geprepareerd HTTP request moeten versturen, waardoor het vervolgens mogelijk wordt om malafide JavaScript op de betreffende server uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Vanwege het grootschalige gebruik van React kwamen zowel overheidsinstanties als techbedrijven met waarschuwingen.

Volgens Amazon hebben verschillende vanuit China opererende groepen het lek een paar uur na de bekendmaking gebruikt bij aanvallen. Het zou daarbij gaan om publieke proof-of-concept exploits die aanvallers proberen aan te passen en werkend voor hun aanvallen te krijgen, aldus Amazon. De analyse van het bedrijf bevat niet heel veel details, wel zijn verschillende ip-adressen gegeven die de aanvallers zouden gebruiken.