Na de kritieke kwetsbaarheid CVE-2025-55182 in React Server Components hebben onderzoekers drie nieuwe lekken gevonden. Twee maken een denial of service mogelijk, een derde lekt broncode. Het React-team roept alle gebruikers op om direct te updaten.
Vorige week waarschuwde Meta voor CVE-2025-55182, een ernstige kwetsbaarheid in React Server Components (RSC) die remote code execution mogelijk maakt. Inmiddels staat het bekend onder de naam “React2Shell”. Die aankondiging bracht onderzoekers ertoe de software verder te analyseren. Dat leverde drie nieuwe problemen op die ook een patch vereisen, meldt React.
De nieuw ontdekte kwetsbaarheden zijn CVE-2025-55184, CVE-2025-67779 en CVE-2025-55183. Ze maken geen remote code execution mogelijk, maar kunnen wel schade op andere manieren aanrichten. De eerste twee lekken maken het mogelijk om een infinite loop op de server te veroorzaken. Die lus zorgt ervoor dat de server vastloopt en geen nieuwe requests meer kan verwerken.
Denial of service treft beschikbaarheid
De twee denial of service-kwetsbaarheden krijgen allebei een CVSS-score van 7.5. Een aanvaller kan via een speciaal geprepareerde HTTP-request een eindeloze lus starten die de CPU volledig bezet houdt. Zelfs applicaties zonder expliciete Server Function-endpoints zijn kwetsbaar als ze React Server Components ondersteunen.
Het React-team publiceerde patches, maar ontdekte al snel dat de eerste oplossing voor CVE-2025-55184 onvolledig was. Daardoor bleven versies 19.0.2, 19.1.3 en 19.2.2 kwetsbaar. De complete fix zit in versies 19.0.3, 19.1.4 en 19.2.3. Voor het tweede DoS-lek, CVE-2025-67779, zijn dezelfde versies vereist.
Broncode-lek dreigt met secrets
CVE-2025-55183 vormt een ander type gevaar. Via een malafide HTTP-request kunnen aanvallers de broncode van elke Server Function opvragen. Dat werkt alleen als een Server Function een argument stringified, expliciet of impliciet. De impact krijgt een score van 5.3.
Het lek kan secrets uit broncode lekken, zoals hardcoded API-keys of wachtwoorden. Runtime-secrets zoals process.env.SECRET blijven veilig. De patches voorkomen dat Server Function-broncode wordt ge-stringified. Het React-team raadt aan om altijd productie-bundles te controleren op gelekte code.
Urgente update vereist
De kwetsbaarheden zitten in dezelfde pakketten als CVE-2025-55182: react-server-dom-webpack, react-server-dom-parcel en react-server-dom-turbopack. Versies 19.0.0 tot en met 19.2.2 zijn getroffen. Fixes zijn beschikbaar in 19.0.3, 19.1.4 en 19.2.3.
“Vanwege de ernst van de nieuw gemelde kwetsbaarheden adviseren we om meteen te upgraden,” aldus het React-team. Ook gebruikers die al updateden voor CVE-2025-55182 moeten opnieuw updaten. De eerste patches waren onvolledig.
Frameworks als Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc en rwsdk zijn eveneens getroffen. Hostingproviders hebben tijdelijke mitigaties toegepast, maar organisaties moeten zich daar niet op verlaten. Ruim 40 procent van professionele developers gebruikt React volgens de Stack Overflow Survey 2024.
RSC in het vizier door eerdere kwetsbaarheid
Securityonderzoekers melden tevens dat RSC op grote schaal het doelwit is van exploitaties. De helft van alle React-servers zijn nog ongepatcht. Unit 42 van Palo Alto Networks stelt dat de activiteit rondom exploitaties overeenkomt met Noord-Koreaanse staatshackers die getrackt worden onder de naam UNC5342. De Linux-backdoor BPFDoor is tevens gevonden door Unit 42, dat te linken is aan de hackersgroep Red Menschen, dat connecties heeft met China.
Het maakt extra duidelijk dat patchen een vereiste is, evenals het controleren op verdachte traffic daarna. Het is namelijk mogelijk dat aanvallers de kwetsbaarheid al hebben geëxploiteerd, maar nog niet gebruik hebben gemaakt van de backdoor die ze hebben geïnstalleerd. Zo kunnen organisaties nog ruim na het dichten van “React2Shell” problemen ervaren.
Lees ook: Is React2Shell het nieuwe Log4Shell?