Onderzoekers hebben nieuwe kwetsbaarheden in React Server Components ontdekt waardoor aanvallers een denial of service kunnen veroorzaken of broncode stelen. Er zijn updates beschikbaar gesteld en React roept alle gebruikers op om die meteen te installeren. De ontwikkelaars van React, alsmede allerlei overheidsinstanties en techbedrijven wereldwijd, waarschuwden vorige week voor een kritieke kwetsbaarheid (CVE-2025-55182) in React Server Components waardoor remote code execution (RCE) mogelijk is.

React is een zeer populaire library voor het ontwikkelen van gebruikersinterfaces voor webapplicaties. Daarnaast is het onderdeel van verschillende andere development frameworks, waaronder Next.js. CVE-2025-55182 bevindt zich in React Server Components, dat het mogelijk maakt voor ontwikkelaars om React-applicaties te ontwikkelen waarvan het grootste deel op de server draait, wat onder andere voor betere prestaties en security zou moeten zorgen.

Naar aanleiding van de kritieke React-kwetsbaarheid besloten onderzoekers verder naar de software te kijken, wat tot de ontdekking van drie nieuwe kwetsbaarheden leidde. Het gaat om CVE-2025-55184, CVE-2025-67779 en CVE-2025-55183. De eerste twee beveiligingslekken maken het mogelijk om een "infinite loop" op de server te veroorzaken waardoor die geen nieuwe requests kan verwerken. Deze denial of service (dos) zorgt ervoor dat gebruikers geen gebruik meer van de betreffende server kunnen maken. De impact van de twee dos-lekken is op een schaal van 1 tot en met 10 beoordeeld met een 7.5.

De derde kwetsbaarheid, CVE-2025-55183, maakt het mogelijk voor aanvallers om via een speciaal geprepareerd HTTP request de broncode van elke server function op te vragen. "Vanwege de ernst van de nieuw gemelde kwetsbaarheden adviseren we om meteen te upgraden", aldus het ontwikkelteam.