Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Kritieke kwetsbaarheid in React en Next.js

Cyber alerts
04 december 2025
Update: 05 december 2025

Update - Actief misbruik van React kwetsbaarheid

Er is sinds 3 december actief misbruik gesignaleerd van de kwetsbaarheid met kenmerk CVE-2025-55182. Dat meldt Amazon. Daarnaast is er een publieke Proof of Concept (PoC) gepubliceerd. Dat betekent dat nu ook andere actoren deze kwetsbaarheid kunnen misbruiken. Hierdoor is er sprake van een verhoogde kans dat jouw organisatie getroffen kan worden door misbruik van deze kwetsbaarheid.

Onderneem actie

Als jouw organisatie gebruik maakt van de React software, dan benadrukken wij om nu actie te ondernemen. Dat kan door het volgende te doen:

  1. Patch jouw systeem zo snel mogelijk.
  2. Onderzoek of jouw organisatie getroffen is. De blog van Amazon biedt handelingsperspectief hiervoor.

Blijf up-to-date

Houd de komende dagen berichten nauwlettend in de gaten. Wij verwachten met meer updates te komen, omdat veel informatie over de kwetsbaarheid en bijbehorend misbruik nog niet bekend is. Wees daarnaast waakzaam op nieuwe ontwikkelingen.

Handelingsperspectief

In ons beveiligingsadvies NCSC-2025-0380 [1.0.1] staat welke versies van software kwetsbaar zijn en het handelingsperspectief om kwetsbaarheden te verhelpen. Dit bericht wordt bij nieuwe ontwikkelingen geüpdatet.

Oorspronkelijk bericht - 4 december 2025

De ontwikkelaars van React hebben een kritieke kwetsbaarheid verholpen in bepaalde versies van React Server Components. React is ontwikkelsoftware (library) die veel wordt gebruikt voor het bouwen van gebruikersinterfaces van webapplicaties, zoals een webformulier. React is ook vaak onderdeel van grotere development frameworks zoals Next.js. De kwetsbaarheid is aangeduid met CVE-2025-55182 en heeft de maximale CVSS-score gekregen van 10.0. Het NCSC schaalt deze kwetsbaarheid in als 'High/High'. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.

Wat is het risico?

Om een webapplicatie te gebruiken, wordt data opgehaald van een aan het internet verbonden server. De kritieke kwetsbaarheid in React kan misbruikt worden om toegang te krijgen tot servers waarop deze ontwikkelsoftware draait. Door het versturen van een malafide HTTP-verzoek naar elk Server Function-endpoint, kan een aanvaller volledige controle over de kwetsbare server krijgen.

Welke versies zijn kwetsbaar?

De kwetsbaarheid zich bevindt in de React versies 19.0, 19.1.0, 19.1.1 en 19.2.0 van:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Verder gelden er nog enkele voorwaarden die van toepassing zijn op specifieke React-code, frameworks en bundlers. Lees meer hierover meer in het uitgebreide security advisory van het NCSC.

De kwetsbaarheid treft ook Next.js met App Router. Deze kwetsbaarheid is bekend onder kenmerk CVE-2025-66478. De kwetsbaarheid bevindt zich in de Next.js-versies 14.3.0-canary, 15.x en 16.x en is verholpen in de volgende gepatchte versies: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 en 16.0.7.

Wat kan je doen?

Als je gebruik maakt van bovenstaande kwetsbare pakketten, dan is het advies om zo spoedig mogelijk te upgraden naar een gepatchte React versie: 19.0.0, 19.1.2 of 19.2.1.

React heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Het NCSC adviseert om deze updates zo snel mogelijk te installeren. Lees hiervoor de instructies van React.

Weet je niet zeker of jouw bedrijf of organisatie gebruik maakt van React Server Components of twijfel je over de specifieke kwetsbare versies? Vraag dit dan zo snel mogelijk na bij je IT-dienstverlener.

Dit bericht is oorspronkelijk gepubliceerd op de website van het Digital Trust Center. Sinds 1 januari 2026 is het Digital Trust Center een onderdeel van het Nationaal Cyber Security Centrum (NCSC).

Formulier
Heeft deze pagina je geholpen?