{ "@context": "https://schema.org", "@type": "NewsArticle", "headline": "Drie nieuwe kwetsbaarheden in React Server Components ontdekt", "description": "Drie nieuwe kwetsbaarheden in React Server Components kunnen denial of service veroorzaken en broncode lekken; gebruikers worden dringend geadviseerd te updaten.", "articleBody": "Onderzoekers hebben drie nieuwe kwetsbaarheden ontdekt in React Server Components, na de eerder gemelde kritieke kwetsbaarheid CVE-2025-55182. Twee van deze nieuwe lekken kunnen een denial of service veroorzaken, terwijl de derde broncode kan lekken. Het React-team adviseert gebruikers dringend om te updaten. Vorige week waarschuwde Meta voor CVE-2025-55182, een ernstige kwetsbaarheid die remote code execution mogelijk maakt en inmiddels bekendstaat als \"React2Shell\". Deze waarschuwing leidde tot verder onderzoek, wat resulteerde in de ontdekking van drie nieuwe problemen die ook gepatcht moeten worden, aldus React. De nieuwe kwetsbaarheden, CVE-2025-55184, CVE-2025-67779 en CVE-2025-55183, maken geen remote code execution mogelijk, maar kunnen wel op andere manieren schade aanrichten. De eerste twee kwetsbaarheden kunnen een infinite loop op de server veroorzaken, waardoor de server vastloopt en geen nieuwe verzoeken kan verwerken. Beide denial of service-kwetsbaarheden hebben een CVSS-score van 7.5. Een aanvaller kan via een speciaal geprepareerde HTTP-request een eindeloze lus starten die de CPU volledig bezet houdt. Zelfs applicaties zonder expliciete Server Function-endpoints zijn kwetsbaar als ze React Server Components ondersteunen. Het React-team heeft patches uitgebracht, maar ontdekte dat de eerste oplossing voor CVE-2025-55184 onvolledig was, waardoor versies 19.0.2, 19.1.3 en 19.2.2 kwetsbaar bleven. De volledige fix is beschikbaar in versies 19.0.3, 19.1.4 en 19.2.3. Voor het tweede DoS-lek, CVE-2025-67779, zijn dezelfde versies vereist. CVE-2025-55183 vormt een ander type bedreiging. Via een malafide HTTP-request kunnen aanvallers de broncode van elke Server Function opvragen, mits een Server Function een argument stringified. Dit lek kan secrets uit broncode lekken, zoals hardcoded API-keys of wachtwoorden. De impact krijgt een score van 5.3. Patches voorkomen dat Server Function-broncode wordt ge-stringified. Het React-team raadt aan om productie-bundles te controleren op gelekte code. De kwetsbaarheden bevinden zich in dezelfde pakketten als CVE-2025-55182: react-server-dom-webpack, react-server-dom-parcel en react-server-dom-turbopack. Versies 19.0.0 tot en met 19.2.2 zijn getroffen. Fixes zijn beschikbaar in 19.0.3, 19.1.4 en 19.2.3. \"Vanwege de ernst van de nieuw gemelde kwetsbaarheden adviseren we om meteen te upgraden,\" aldus het React-team. Ook gebruikers die al geüpdatet hebben voor CVE-2025-55182 moeten opnieuw updaten. De eerste patches waren onvolledig. Frameworks als Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc en rwsdk zijn eveneens getroffen. Hostingproviders hebben tijdelijke mitigaties toegepast, maar organisaties moeten zich daar niet op verlaten. Ruim 40 procent van professionele developers gebruikt React volgens de Stack Overflow Survey 2024. Securityonderzoekers melden dat RSC op grote schaal het doelwit is van exploitaties. De helft van alle React-servers zijn nog ongepatcht. Unit 42 van Palo Alto Networks stelt dat de activiteit rondom exploitaties overeenkomt met Noord-Koreaanse staatshackers die getrackt worden onder de naam UNC5342. De Linux-backdoor BPFDoor is tevens gevonden door Unit 42, dat te linken is aan de hackersgroep Red Menschen, dat connecties heeft met China. Dit benadrukt de noodzaak van patchen en het controleren op verdachte traffic, aangezien aanvallers de kwetsbaarheid mogelijk al hebben geëxploiteerd zonder de backdoor te gebruiken die ze hebben geïnstalleerd. Organisaties kunnen nog problemen ervaren na het dichten van \"React2Shell\".", "datePublished": "2025-12-12T13:02:00.000Z", "dateModified": "2025-12-12T00:00:00.000Z", "mainEntityOfPage": { "@type": "WebPage", "@id": "/nieuws/nieuwsfeed/item/drie-nieuwe-kwetsbaarheden-in-react-server-components-ontdekt/r/recIshDuOOxinqjCi" }, "isBasedOn": { "@type": "CreativeWork", "@id": "https://www.techzine.nl/nieuws/security/573114/drie-nieuwe-kwetsbaarheden-ontdekt-in-react-server-components/" }, "publisher": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "author": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "image": "https://v5.airtableusercontent.com/v3/u/48/48/1765555200000/uAWNyul1JO4CpxQzPD6lfw/pK4VORTb3whruNUiJXm1V5jrWw-MdLvWQHda9BSX4C8BMHlUMmg0yz_yGyK1FUWsBKhu5VZVMK1ejQVJ1C0BsCYE5ML5p37nE0687HE2p6LmBudPh5E0WNSfMai2-2_u2gYGvUr-0ts0sFe2kJ9ToA/kJcmiHl_EOIYxsrRq1ci1SzwndzxaAGZQeTbLglyRro" }