Meta slaat alarm: React Server Components bevat ernstige kwetsbaarheid

donderdag, 4 december 2025 (16:26) - Techzine

In dit artikel:

Meta heeft een kritiek beveiligingslek ontdekt in React Server Components (RSC) — CVE-2025-55182 — met de maximale CVSS-score 10.0. De fout maakt ongeauthenticeerde remote code execution mogelijk: een kwaadwillende kan met een speciaal geconstrueerd HTTP-verzoek naar een RSC-endpoint willekeurige code op een kwetsbare server laten draaien.

De kwetsbaarheid zit in meerdere RSC-releases (onder meer 19.0, 19.1.0, 19.1.1 en 19.2.0). Patches zijn uitgebracht in versies 19.0.1, 19.1.2 en 19.2.1; Meta roept ontwikkelaars op onmiddellijk te updaten. Niet alleen expliciete Server Function-endpoints lopen gevaar; ook applicaties die RSC ondersteunen maar geen aparte endpoints hebben, kunnen worden misbruikt.

Drie React-pakketten zijn direct getroffen: react-server-dom-webpack, react-server-dom-parcel en react-server-dom-turbopack. Doordat veel frameworks en bundlers hierop bouwen, reikt de impact verder: onder andere Next.js (versies 15.0 tot 16.0), React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc en rwsdk zijn aangedaan. Voor Next.js geldt extra advies: bepaalde canary-releases van 14.x (vanaf 14.3.0-canary.77) moeten teruggezet worden naar de laatste stabiele 14.x; de stabiele 13.x en 14.x releases en Pages Router-applicaties zijn niet kwetsbaar.

De fout werd op 29 november gemeld door Lachlan Davidson via het Meta Bug Bounty-programma. Meta bevestigde het probleem snel (30 november), werkte direct met het React-team aan een oplossing (fix beschikbaar 1 december) en publiceerde de patch op npm en de melding publiek op 3 december. Hostingproviders hebben deels tijdelijke mitigaties uitgerold, maar Meta waarschuwt dat alleen het daadwerkelijk installeren van de gepatchte versies volledige veiligheid biedt.

De urgentie is groot: een RCE-kwetsbaarheid zonder vereiste authenticatie vormt een direct risico voor servers en data, en React wordt door een groot deel van de JavaScript-gemeenschap gebruikt (State of JavaScript 2024 noemt circa 82% gebruik). Organisaties die RSC gebruiken moeten nu hun afhankelijkheden scannen, de genoemde versies bijwerken, en waar nodig hostingomgevingen laten controleren of de patches zijn toegepast. Aanvullende maatregelen zijn het beperken van netwerktoegang tot RSC-endpoints, monitoring op verdachte verzoeken en snel reageren op waarschuwingen van leveranciers en hostingpartijen.