- Kritieke React-fout (CVE-2025-55182) maakt pre-authenticatie RCE in React-servercomponenten mogelijk
- Heeft invloed op versies 19.0–19.2.0 en frameworks zoals Next, React Router, Vite; patches uitgebracht in 19.0.1, 19.1.2, 19.2.1
- Deskundigen waarschuwen dat uitbuiting op handen is, met een succespercentage van bijna 100%; dringende updates worden sterk aanbevolen
React is een van de meest populaire JavaScript-bibliothekendie een groot deel van het hedendaagse internet aandrijft. Onderzoekers hebben onlangs een zeer ernstige kwetsbaarheid ontdekt. Deze bug zou ervoor kunnen zorgen dat zelfs laagopgeleide bedreigingsactoren kwaadaardige code (RCE) kunnen uitvoeren op kwetsbare instanties.
Eerder deze week publiceerde het React-team een nieuw beveiligingsadvies waarin een pre-authenticatiefout in meerdere versies van meerdere pakketten werd beschreven, die gevolgen had voor React-servercomponenten. Betrokken versies zijn onder meer 19.0, 19.1.0, 19.1.1 en 19.2.0 van react-server-dom-webpack, react-server-dom-parcel en react-server-dom-turbopack.
De bug wordt nu bijgehouden als CVE-2025-55182 en heeft een ernstbeoordeling van 10/10 (kritiek) gekregen.
Uitbuiting dreigt, daar bestaat geen twijfel over
Er wordt gezegd dat de standaardconfiguraties van meerdere React-frameworks en bundels ook door deze bug worden beïnvloed, waaronder next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc en rwsdk.
De versies die de bug hebben opgelost zijn 19.0.1, 19.1.2 en 19.2.1, en React dringt er bij alle gebruikers op aan om de oplossing zo snel mogelijk toe te passen. “We raden aan om onmiddellijk te upgraden”, aldus het React-team.
Seconde Het registerReact stuurt bijna twee van de vijf cloudomgevingen aan, dus het aanvalsoppervlak is op zijn zachtst gezegd groot. Facebook, Instagram, Netflix, Airbnb, Shopify en andere giganten van het hedendaagse internet vertrouwen allemaal op React, net als miljoenen andere ontwikkelaars.
Benjamin Harris, oprichter en CEO van watchTowr, een leverancier van tools voor blootstellingsbeheer, vertelde de publicatie dat de fout “ongetwijfeld” op grote schaal zal worden uitgebuit. Volgens hem zijn misbruiken ‘dreigend’, vooral nu de waarschuwing is gepubliceerd.
Wiz kon de bug testen en zegt dat “de exploitatie van deze kwetsbaarheid zeer betrouwbaar was, met een succespercentage van bijna 100%, en kan worden uitgebuit voor volledige uitvoering van externe code.”
Met andere woorden: dit is niet het moment om te vertragen: het oplossen van deze fout zou voor iedereen prioriteit nummer één moeten zijn.
Gaan Het register
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws EN voeg ons toe als uw favoriete bron om nieuws, recensies en meningen van onze experts in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxing in videoformaat en ontvang regelmatig updates van ons WhatsApp ook.
