Kritisk sårbarhet i React Server Components (RSC)

En kritisk sårbarhet har identifierats i React Server Components som påverkar både React 19 och Next.js. [1] Omedelbar åtgärd krävs, bland annat genom att uppdatera till senaste versionen av React och dess beroenden. [2]

Sårbarheten CVE-2025-55182 har fått en CVSS-klassning på 10.0, den högsta klassningen. [3] Framgångsrikt utnyttjande av sårbarheten innebär att en angripare kan skapa skadliga förfrågningar till slutpunkter (endpoints) som när de deserialiseras av React ger full tillgång till att fjärrköra kod (RCE).

Uppdatering 2025-12-04

CERT-SE har noterat indikationer på att sårbarheten utnyttjas aktivt.

Påverkade produkter

React Server Components i versionerna 19.0.0, 19.1.0, 19.1.1 och 19.2.0 samt följande paket: react-server-dom-parcel, react-server-dom-turbopack och react-server-dom-webpack. [3, 4]

Rekommendationer

CERT-SE rekommenderar att följa leverantörens rekommendationer samt att undersöka sina system efter tecken på intrång.

Källor

[1] https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components, https://nextjs.org/blog/CVE-2025-66478
[2] https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
[3] https://www.cve.org/CVERecord?id=CVE-2025-55182
[4] https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp