Kritieke kwetsbaarheid in React en Next.js
Op 3 december 2025 heeft React een blog gepubliceerd over een kritieke kwetsbaarheid met kenmerk CVE-2025-558182. Het NCSC heeft naar aanleiding van deze blog een HIGH/HIGH beveiligingsadvies uitgebracht met handelingsperspectief. NCSC roept organisaties die gebruik maken van deze software met klem op dit advies op te volgen.
React is ontwikkelsoftware (library) die wordt gebruikt voor het bouwen van gebruikersinterfaces van webapplicaties, zoals bijvoorbeeld een webformulier. Daarnaast is het vaak onderdeel van grotere development frameworks, zoals Next.js.
Hoe kan de kwetsbaarheid worden misbruikt
Om een webapplicatie te gebruiken, wordt data opgehaald van een aan het internet verbonden server. De kritieke kwetsbaarheid in React kan misbruikt worden om toegang te krijgen tot servers waarop deze ontwikkelsoftware draait.
Aanvallers kunnen de kwetsbaarheid misbruiken door een HTTP pakket naar een kwetsbare server te sturen. Het HTTP pakket wordt door de kwetsbare versie van de software die op de server draait onjuist verwerkt. Hierdoor kan een aanvaller malafide javascript code op de betreffende server uitvoeren. Het gevolg hiervan kan zijn dat een aanvaller mogelijk alle data op de server kan inzien, of controle kan krijgen over de server waar de kwetsbare software op draait.
Handelingsperspectief
In ons beveiligingsadvies NCSC-2025-0380 [1.0.0] staat welke versies van software kwetsbaar zijn en het handelingsperspectief om kwetsbaarheden te verhelpen.
Dit bericht wordt bij nieuwe ontwikkelingen geüpdatet.