Een uitzonderlijk ernstig beveiligingslek in React Server Components laat aanvallers toe om op afstand code uit te voeren zonder authenticatie. Ontwikkelaars die React gebruiken in combinatie met specifieke pakketten en frameworks moeten onmiddellijk updaten om risico’s te vermijden.
Beveiligingsonderzoekers hebben een uitzonderlijke kwetsbaarheid ontdekt in React. React is een opensource-bibliotheek die ingebakken zit in tal van online toepassingen. Meer dan zes procent van alle websites wereldwijd gebruikt naar schatting React, en volgens Wiz is 39 procent van alle cloud-omgevingen kwetsbaar.
React heeft de kwetsbaarheid bevestigd. De bug situeert zich in de manier waarop React Server Components bepaalde verzoeken verwerkt. De fout laat aanvallers toe om zonder in te loggen eigen code uit te voeren op de server. De kwetsbaarheid is bekend onder de naam CVE-2025-55182 en kreeg de hoogste ernstscore van 10 op 10.
De fout treft React-apps die gebruikmaken van Server Components via pakketten zoals react-server-dom-webpack, react-server-dom-parcel en react-server-dom-turbopack. De kwetsbare versies zijn 19.0, 19.1.0, 19.1.1 en 19.2.0. Zelfs als een app geen gebruik maakt van React Server Functions, kan ze toch kwetsbaar zijn als Server Components zijn ingeschakeld.
Hoe reageren
React raadt aan om zo snel mogelijk te updaten naar een beveiligde versie: 19.0.1, 19.1.2 of 19.2.1. Gezien de ernst maar ook de eenvoud van de bug lijkt misbruik door hackers op korte termijn haast onvermijdelijk.
Ontwikkelaars die een React-framework gebruiken dat Server Components ondersteunt, zoals Next.js, React Router, Waku, Redwood of bundlers zoals Parcel en Vite, lopen risico. Deze projecten gebruiken of ondersteunen de getroffen React-pakketten. Zowel productiesystemen als ontwikkelomgevingen kunnen getroffen zijn.
React werkt samen met hostingproviders aan tijdelijke beveiligingsmaatregelen, maar benadrukt dat enkel een update voldoende bescherming biedt. Voor elk framework en bundler zijn aparte instructies beschikbaar om te updaten. Meer informatie daarover vind je hier.
Updaten kan veel werk zijn. Google geeft in een blogpost zelf aan hoe kritiek de bug is, en roept klanten op om onmiddellijk updates uit te voeren voor applicaties in Cloud Run of APp Engine, Google Kubernetes Engine, Compute Engine en Firebase. Een nieuwe Coud Armor Web Application Firewall-regel moet tijdelijk een extra laag van verdediging bieden. AWS reageert op dezelfde manier. De WAF biedt echter geen permanente bescherming en dient als methode om tijd te winnen om de nodige updates uit te voeren.
De fout werd op 29 november ontdekt via het bug bounty-programma van Meta. Op 3 december werd het lek publiek gemaakt en de fix vrijgegeven. Meer technische details werden initieel nog niet gedeeld, maar intussen is code voor actief misbruik publiek beschikbaar. Apps die React uitsluitend op de client gebruiken, of geen gebruik maken van Server Components, zijn niet getroffen.