Meta heeft een kritieke kwetsbaarheid ontdekt in React Server Components. Het lek krijgt de maximale score van 10.0 en maakt ongeauthenticeerde remote code execution mogelijk. Het bedrijf vraagt gebruikers om onmiddellijk te updaten naar de gepatchte versies.
Het gaat om CVE-2025-55182, een beveiligingslek dat aanvallers in staat stelt om willekeurige code uit te voeren op kwetsbare servers. Een kwaadwillende partij kan met een geprepareerd HTTP-verzoek naar een React Server-endpoint ervoor zorgen dat code op die server draait. Meta wil niet veel details prijsgeven over de precieze werking van het lek, maar de impact is potentieel enorm.
Hoe ernstig de kwetsbaarheid precies is, valt lastig te zeggen. Menig bedrijf gebruikt React Server Components (RSC) of een framework dat deze bevat. Server-side packages kunnen de kwetsbaarheid bevatten of er draait een server die RSC-payloads kan verwerken. Wie Next.js draait, moet bijvoorbeeld zo snel mogelijk updaten.
De kwetsbaarheid zit in versies 19.0, 19.1.0, 19.1.1 en 19.2.0 van React Server Components. Niet alleen applicaties met React Server Function endpoints zijn kwetsbaar. Ook apps die React Server Components ondersteunen maar geen expliciete endpoints hebben, lopen risico. De patches zitten in versie 19.0.1, 19.1.2 en 19.2.1.
Frameworks en bundlers getroffen
De kwetsbaarheid treft drie React-pakketten: react-server-dom-webpack, react-server-dom-parcel en react-server-dom-turbopack. Maar de impact reikt verder. Populaire frameworks en bundlers die op deze pakketten leunen, zijn eveneens kwetsbaar. Het gaat om Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc en rwsdk.
Voor Next.js zijn versies 15.0 tot en met 16.0 getroffen. Gebruikers van Next.js 14.3.0-canary.77 of latere canary-releases moeten downgraden naar de laatste stabiele 14.x-release. Next.js 13.x en 14.x stabiele versies zijn niet kwetsbaar, evenmin als Pages Router-applicaties.
Snelle ontdekking en reactie
Lachlan Davidson meldde de kwetsbaarheid op 29 november via het Meta Bug Bounty-programma. Meta-beveiligingsonderzoekers bevestigden het probleem een dag later en begonnen direct met het React-team aan een oplossing. Op 1 december was er een fix, waarna Meta samenwerkte met hostingproviders en open source-projecten om de patch uit te rollen.
Op 3 december publiceerde Meta de fix naar npm en maakte het lek publiek bekend. Beveiligingsonderzoekers wijzen erop dat de snelheid van de reactie cruciaal was, gezien het feit dat React door 82 procent van de JavaScript-ontwikkelaars wordt gebruikt volgens de State of JavaScript 2024-enquête.
Sommige hostingproviders hebben tijdelijke mitigaties toegepast. Meta benadrukt echter dat organisaties zich hier niet op moeten verlaten en alsnog moeten updaten. De ernst van het lek – een score van 10.0 betekent maximaal risico – maakt directe actie noodzakelijk.