Kritiek lek in React Server Components, ontwikkelaar vraagt direct te updaten

Er zit een kritiek lek in recente versies van React Server Components van Meta. Het bedrijf vraagt gebruikers van de software om onmiddellijk te updaten naar een gepatchte versie. Het lek krijgt een score van 10/10.

Het gaat om CVE 2025-55182 en die maakt het uitvoeren van willekeurige code op het systeem van het slachtoffer mogelijk, meldt Meta. Het bedrijf wil niet veel zeggen over de details van het lek, maar een aanvaller kan met een kwaadaardig HTTP-request naar een React Server-endpoint ervoor zorgen dat die willekeurige code kan uitvoeren op die server.

De kwetsbaarheid zit in versies 19.0, 19.1.0, 19.1.1, en 19.2.0 van React Server Components. Meta raadt gebruikers aan om goed te checken of ze dat gebruiken, omdat ook andere toepassingen als bijvoorbeeld Next.js gebruik maken van React Server Components. De patch zit in versie 19.0.1, 19.1.2 en 19.2.1, zo zegt het bedrijf.

Door Redactie Tweakers

Feedback • 04-12-2025 15:49
15 • submitter: luuj

04-12-2025 • 15:49

15

Submitter: luuj

Lees meer

Beveiliging en antivirus Meta Cybersecurity Security

Reacties (15)

-Moderatie-faq
15
15
14
2
0
0
Wijzig sortering

Sorteer op:

Weergave:
Stetsed 4 december 2025 16:06
Ik denk persoonlijk dat dit zelfs een groter probleem is dan de eerdere Log4Shell. Op het gebied van classificatie is het hetzelfde, namelijk Remote, Geen user interaction of authorization en het geeft arbitrary code execution. En het probleem is dat dit over het hele web wordt gebruikt, het is echt gigantisch als ik het me goed herinner de meest gebruikte web framework op het internet op dit moment

Dit gaat interessant worden… ik heb zelf vanochtend een trivy scan over het hele homelab gedraaid, gelukkig draai ik geen applicaties die er door getast worden maar nog steeds dit is echt gevaarlijk.

Ook is het belangrijk te noteren dat dit NIET een app is die jij installeert, maar het is een app die op de server kant draait het zit ook in de server framework. Ik zou zeggen voor degene die niet NPM gebruikt maar het via package manager doet om tijdelijk apps stop te zetten, of naar de NPM versie te stappen tot er een update is.

Hiernaast zag ik op HN bijvoorbeeld dat mensen referenceren naar bepaalde PoC’s, deze zijn NIET accuraat, en vaak doen ze all gevaarlijke dingen om een fout te creëren, er is nog geen officiële PoC en wordt zoals in het artikel gezegd express op dit moment niet vrij gemaakt.

[Reactie gewijzigd door Stetsed op 4 december 2025 16:10]

Reageer
joost00719 @Stetsed4 december 2025 16:14
Veel HTTP vulnerabilities zijn tegen te houden met een reverse proxy. Nginx heeft een module "Block Common Exploits" dat dingen zoals Path Traversal (../../../../../../../../../etc/passwd) tegen houdt.

Ik weet niet precies hoe gecompliceerd deze attack is. Maar misschien is dit ook op deze manier te mitigaten.
Reageer
Stetsed @joost007194 december 2025 16:31
Hier heb je waarschijnlijk een WAF voor nodig als het complexer wordt dan wat alleen in de request staat bijvoorbeeld als het een manipulated body is.
Reageer
RobbieB @Stetsed4 december 2025 16:33
Een beetje fatsoenlijke WAF is voldoende om hier tegen te beschermen, zie ook: https://blog.cloudflare.com/waf-rules-react-vulnerability/

en verder gewoon patchen. Dit is echt niet vergelijkbaar met log4j.
Reageer
hello123456 4 december 2025 16:16
Indien je gebruik maakt van Next.JS, dan zijn de volgende versies kwetsbaar:
  • Next.js 15.x
  • Next.js 16.x
  • Next.js 14.3.0-canary.77 and later canary releases - Note: Enkel dus canary releases later dan dit, de stable van 14.x is niet getroffen.
Versies waarin het is opgelost:
  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7
Verder: Next.js 13.x, Next.js 14.x stable, Pages Router applications, en the Edge Runtime bevatten de kwetsbaarheid niet.

Meer info: https://nextjs.org/blog/CVE-2025-66478

Mocht je applicatie achter Cloudflare zitten, dan ben je automatisch beschermd door Cloudflare: https://blog.cloudflare.com/waf-rules-react-vulnerability/

[Reactie gewijzigd door hello123456 op 4 december 2025 16:17]

Reageer
Luchtbakker 4 december 2025 15:53
Vreemd genoeg als ik apt update & apt upgrade op debian uitvoer, krijg ik All packages are up to date, ondanks dat ik react server components gebruik.

Meer mensen last van?
Reageer
ZoidbergNL @Luchtbakker4 december 2025 15:56
ehh.. zijn dat geen npm packages? Ik gebruik react niet zelf
Reageer
nassau @ZoidbergNL4 december 2025 16:02
Ik zou zelf ook NPM gebruiken maar ubuntu bijvoorbeeld levert ze ook via apt
Reageer
nassau @Luchtbakker4 december 2025 15:57
Zit nog wel eens vertraging in .deb packages qua beschikbaarheid. Ook een beetje afhankelijk van welke distro release je gebruikt.

Als je via NPM installeert/update zou je direct de laatste versies moeten krijgen.

[Reactie gewijzigd door nassau op 4 december 2025 15:59]

Reageer
Cyw00d @Luchtbakker4 december 2025 15:58
Je bent in de war tussen het package management systeem van linux en die van nodejs.

Zorg dat je react update via je node package manager.
Reageer
TheNephilim @Luchtbakker4 december 2025 15:58
Het zijn inderdaad packages van NPM, dus je zult waarschijnlijk je applicatie moeten bijwerken (npm update && npm run build oid.).
Reageer
mr.DJ95 4 december 2025 15:59
Dit kan potentieel net zo groot worden als, of zelfs groter dan Log4Shell (Log4J).

Als ik het goed begrijp zijn de React server components onderdeel van software waardoor je niet alleen afhankelijk bent van Meta om het lek in React te dichten maar ook van alle leveranciers/uitgegevers/ontwikkelaars die gebruik maken van React.
Reageer
telenut 4 december 2025 16:12
Probeer nu maar eens te achterhalen op welke servers in het netwerk dit allemaal staat ( als die niet allemaal in eigen beheer zijn).
Reageer
TheAncientDovah 4 december 2025 16:12
Ik kreeg inderdaad ook een update voor Umami (self-hosted analytics). Umami gebruikt Next.js, en die gebruiken React Server Components. Heerlijk al die transitieve dependencies...
Reageer
Aloy 4 december 2025 16:21
Voor de NextJS gebruikers onder ons, de getroffen versies zijn:
  • 15.x
  • 16.x
  • 14.3.0-canary.77 en nieuwere canary (unstable) releases
De gefixte versies zijn:
  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7
https://nextjs.org/blog/CVE-2025-66478
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq