Dutch IT Chanel Logo mobile
Search icon
Witold Kepinski - 14 december 2025

Kritieke lekken in React Server Components

Ontwikkelaars die gebruikmaken van React Server Components (RSC) worden dringend opgeroepen om hun applicaties onmiddellijk te patchen. Het React-team heeft gisteren bekendgemaakt dat beveiligingsonderzoekers twee nieuwe, ernstige kwetsbaarheden hebben ontdekt.

Security Cybersecurity Servers Software
Kritieke lekken in React Server Components image

De nieuwe lekken zijn gevonden tijdens pogingen om eerdere, kritieke kwetsbaarheden te misbruiken. Hoewel de Remote Code Execution-bug van vorige week is opgelost, brengen deze nieuwe fouten grote risico's met zich mee voor de stabiliteit en beveiliging van servers.

Gevaar voor dienstweigering en broncode lekkage

De twee nieuw ontdekte kwetsbaarheden zijn geclassificeerd als:

  1. Denial of Service (DoS): Geclassificeerd als High Severity (CVSS 7.5). Een kwaadaardig geformuleerd HTTP-verzoek naar een Server Functions-endpoint kan leiden tot een infinite loop op de server. Dit zorgt ervoor dat het serverproces vastloopt en veel CPU verbruikt, met een totale dienstweigering voor gebruikers tot gevolg (DoS-aanval).
  2. Broncode lekkage: Geclassificeerd als Medium Severity (CVSS 5.3). Een aanvaller kan via een kwaadaardig verzoek de broncode van een Server Function opvragen. Dit riskeert het lekken van in de code vastgelegde geheime gegevens, zoals API-sleutels of databasewachtwoorden.

Onmiddellijke actie vereist

Het React-team benadrukt dat de patches die vorige week zijn uitgebracht, onvolledig bleken te zijn voor deze nieuwe kwetsbaarheden. Ontwikkelaars die al een eerdere update hebben uitgevoerd, moeten dit opnieuw doen.

De kwetsbaarheden zijn aanwezig in de pakketten react-server-dom-webpack, react-server-dom-parcel, en react-server-dom-turbopack.

Aangetaste versies (o.a.): 19.0.0, 19.0.1, 19.0.2, 19.1.0, 19.1.1, 19.2.0, 19.2.1, 19.2.2.

Opgeloste versies (direct patchen naar):

  • 19.0.3
  • 19.1.4
  • 19.2.3

Applicaties die gebruikmaken van frameworks zoals Next.js, react-router, en diverse andere bundlers die React Server Components ondersteunen, worden getroffen en moeten de instructies van hun respectievelijke framework volgen voor een snelle update.

Niet alle apps zijn getroffen: Het team merkt op dat enkel applicaties die daadwerkelijk een server gebruiken of een bundler/framework dat React Server Components ondersteunt, kwetsbaar zijn. Gebruikers van klassieke client-side React-applicaties hoeven zich geen zorgen te maken.

Bitdefender BW + BN ESET BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Dutch IT Channel Awards 2025

Alle events
Bitdefender BW + BN

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!