Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses

On 3 December 2025, the React team disclosed a critical security vulnerability in React Server Components (RSC) protocol that affects JavaScript libraries React and Next.js (built on top of React) [1]. We recommend upgrading React, Next.js and custom applications that use react-server packages to the latest versions, which are described below.
 
The vulnerability affects applications using RSC in React 19.x and may lead to remote code execution (RCE). The issue arises from insecure deserialization of user-controlled input data that is passed into RSC. The React team emphasizes that only React Server components are vulnerable; React applications that do not include React Server components are not vulnerable.
 
Description
This vulnerability was initially reported on 29 November 2025 by security researchers and is identified as CVE-2025-55182 for React and CVE-2025-66478 for Next.js. On 4 December 2025, proof of concept code to exploit the vulnerability was released in public [3].
 
The vulnerability resides in the react-server-* packages and its handling of the RSC “Flight” protocol. When a react-server receives a specially crafted, malformed payload, it fails to validate the structure correctly, allowing attacker-controlled data to influence server-side execution logic, resulting in execution of privileged JavaScript code on the server.
 
The attack vector is unauthenticated and remote, requiring only a crafted HTTP request to vulnerable endpoints. Exploitation has shown near 100% success in testing
 
Impact
We assess the impact of this attack as high, as React is a popular framework used in various web applications: according to Wiz [2], 39% of cloud environments have instances vulnerable to CVE-2025-55182 and/or related Next.js CVE-2025-66478. Without follow-up action, the vulnerability could lead to exploitation of many internet-facing React web applications (that make use of the vulnerable components).
 
Services like Cloudflare and Vercel have implemented rules in their Web Application Firewalls that prevent this attack.
 
Risk
The risk level is also considered high, as the vulnerability is easily exploited (unauthenticated, remote), React and Next.js are widespread in production and default configurations are vulnerable.
 
Mitigation
Customers that use web applications that have integrated React Server are strongly advised to install the relevant updated versions as soon as possible.
 
Affected versions:
 
  • React: 19.0, 19.1, 19.2
  • Next.js: 14.3.0-canary, 15.x, 16.x (App Router)
 
Patched releases:
 
  • React: 19.0.1, 19.1.2, and 19.2.1
  • Next.js: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
 
What Should You Do?
We recommend implementing the above mitigation steps as soon as possible. To do so, it is paramount to identify which public-facing web applications (1) use React / Next.js and (2) include the vulnerable React Server Components. If the application cannot be patched, we strongly advise to remove the application from public exposure.
 
What Will Northwave Do?
 
We will continue to monitor developments related to this attack. If new critical information arises, we will contact you. If you would like additional information, please feel free to call us or send an email.
 
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
 
Disclaimer applies, see below. 
 
Sources 
 
[1]: Critical Security Vulnerability in React Server Components – React 
[2]: Critical RCE Vulnerabilities Discovered in React & Next.js | Wiz Blog 
[3]: GitHub - ejpir/CVE-2025-55182-poc: CVE-2025-55182 POC 

 

 

 Op 3 december 2025 heeft het React-team een kritieke kwetsbaarheid opgelost in het React Server Components (RSC)-protocol. Dit protocol wordt onder andere gebruikt in de JavaScript-bibliotheken React en Next.js (gebouwd bovenop React) [1]. Wij raden aan om React, Next.js en andere applicaties die react-server gebruiken, te upgraden naar de nieuwste versies zoals hieronder beschreven.

 
De kwetsbaarheid treft applicaties die RSC gebruiken en kan leiden tot Remote Code Execution (RCE). Het probleem ontstaat door onveilige deserialisatie van door de gebruiker gecontroleerde invoerdata die wordt doorgegeven aan RSC. Het React-team benadrukt dat alleen React Server Components kwetsbaar zijn; React-applicaties die geen React Server Components bevatten, zijn niet kwetsbaar.
 
Beschrijving
Deze kwetsbaarheid is oorspronkelijk gemeld op 29 november 2025 door beveiligingsonderzoekers en wordt gevolgd onder CVE-2025-55182 voor React en CVE-2025-66478 voor Next.js. Op 4 december 2025 is proof-of-conceptcode om de kwetsbaarheid te misbruiken openbaar gemaakt [3].
 
De kwetsbaarheid in React bevindt zich in de react-server-* pakketten en de verwerking van het RSC “Flight”-protocol. Wanneer een React-server een speciaal vervaardigde, onjuiste payload ontvangt, wordt de structuur niet correct gevalideerd, waardoor door een aanvaller gecontroleerde data invloed kan hebben op de server-side uitvoeringslogica. Dit resulteert in de uitvoering van bevoorrechte JavaScript-code op de server.
 
De aanvalsvector is niet-geauthenticeerd en extern, en vereist alleen een aangepaste HTTP-aanvraag naar kwetsbare eindpunten. Exploitatie heeft in tests bijna 100% succes laten zien.
 
Impact
Wij beoordelen de impact van deze aanval als hoog, aangezien React een populair framework is dat in veel webapplicaties wordt gebruikt: volgens Wiz [2] heeft 39% van de cloudomgevingen instanties die kwetsbaar zijn voor CVE-2025-55182 en/of gerelateerde Next.js CVE-2025-66478. Zonder opvolging kan de kwetsbaarheid leiden tot misbruik van veel React-webapplicaties die via het internet toegankelijk zijn (en gebruikmaken van de kwetsbare componenten).
 
Diensten zoals CloudFlare en Vercel hebben regels geïmplementeerd in hun Web Application Firewalls om deze aanval te voorkomen.
 
Risico
Het risiconiveau wordt ook als hoog beschouwd, omdat de kwetsbaarheid eenvoudig te misbruiken is (niet-geauthenticeerd, extern), React en Next.js veel worden gebruikt in productie en standaardconfiguraties kwetsbaar zijn.
 
Mitigatie
Klanten die gebruik maken van web applicaties waar React Server components gebruikt worden moeten zo snel mogelijk hun applicaties updaten.
 
Getroffen versies:
 
  • React: 19.0, 19.1, 19.2
  • Next.js: 14.3.0-canary, 15.x, 16.x (App Router)
 
Geüpdatete versies:
 
  • React: 19.0.1, 19.1.2, and 19.2.1
  • Next.js: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
 
Wat moet u doen?
Wij raden aan om bovenstaande mitigatiestappen zo snel mogelijk uit te voeren. Het is van groot belang om te identificeren welke publiek toegankelijke webapplicaties (1) React / Next.js gebruiken en (2) de kwetsbare React Server Components bevatten. Als de applicatie niet kan worden gepatcht, adviseren wij dringend om deze applicatie niet langer publiek toegankelijk te maken, of via services te ontsluiten die regels hebben geimplementeerd om deze aanval te blokkeren.
 
Wat doet Northwave?
Wij blijven de ontwikkelingen rondom deze aanval nauwlettend volgen. Als er nieuwe kritieke informatie beschikbaar komt, nemen wij contact met u op. U kunt ons bellen of mailen als u aanvullende informatie wenst.
 
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
 
Disclaimer van toepassing, zie hieronder.
 
Bronnen:
 
[1]: Critical Security Vulnerability in React Server Components – React 
[2]: Critical RCE Vulnerabilities Discovered in React & Next.js | Wiz Blog 
[3]: GitHub - ejpir/CVE-2025-55182-poc: CVE-2025-55182 POC 
 
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We shall not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.

 

 

.