Kritisk React- og Next.js-sårbarhet (RCE): Oppdater umiddelbart

En ny og kritisk sårbarhet i React Server Components (RSC) gjør det mulig for angripere å kjøre kode direkte på serveren i React- og Next.js-prosjekter. Feilen rammer standardoppsett i React 19 og Next.js App Router og er svært enkel å utnytte. Her forklarer vi hva som skjer – og hvordan du raskt sjekker om du er berørt.

December 4, 2025

Kritisk RCE-sårbarhet i React og Next.js

En kritisk og svært lett utnyttbar sårbarhet for fjernkodekjøring (RCE) er avdekket i kjernen av React Server Components (RSC). Sårbarhetene CVE-2025-55182 og CVE-2025-66478 rammer React 19-økosystemet og særlig Next.js i standardoppsett.

Hva er sårbarheten?

Feilen ble meldt inn av sikkerhetsforsker Lachlan Davidson og omtalt av React-teamet. I korte trekk:

  • Sårbarheten ligger i usikker deserialisering i React Server Components (RSC).
  • En angriper kan sende en spesiallaget pakke som blir behandlet på en måte som gjør at serveren kjører privilegert JavaScript-kode.
  • Angriperen trenger ingen autentisering.

Dette er derfor en av de mer alvorlige RSC-relaterte feilene vi har sett.

Hvem er berørt?

Alle rammeverk som bygger på React 19 og RSC kan være påvirket. De mest utsatte er:

React Server DOM

  • react-server-dom-* i versjonene:
    19.0.0, 19.1.0, 19.1.1, 19.2.0

Next.js (App Router)

  • 14.3.0-canary,
  • 15.*,
  • 16.*

Andre rammeverk med RSC-støtte (som benytter sårbar RSC)

Sannsynligvis berørt dersom du kombinerer dem med React 19:

  • Vite RSC plugin (@vitejs/plugin-rsc)
  • Parcel RSC plugin (@parcel/rsc)
  • RedwoodSDK
  • Waku
  • Expo (prosjekter som bruker RSC-templates eller React 19 med react-server-dom-webpack)

Sjekk om du er berørt

Se i package.json og lockfiles etter følgende:

Kjerneserien av sårbare RSC-pakker

  • "react": "19.0.x", "19.1.x", "19.2.0"
  • "react-dom": same 19.x series as above
  • "react-server-dom-webpack": 19.0.0 | 19.1.0 | 19.1.1 | 19.2.0
  • "react-server-dom-parcel": 19.0.0 | 19.1.0 | 19.1.1 | 19.2.0
  • "react-server-dom-turbopack": 19.0.0 | 19.1.0 | 19.1.1 | 19.2.0

Rammeverk som trekker inn sårbare versjoner

  • "next": 15.x eller 16.x (App Router)
  • "react-router" (ved bruk av RSC APIs)
  • "waku"
  • "@parcel/rsc"
  • "@vitejs/plugin-rsc"
  • "rwsdk"
  • "expo" (using RSC templates or React 19 with react-server-dom-webpack)

Hva bør du gjøre?

Sårbarheten er kritisk og lett å utnytte, så oppdatering bør skje umiddelbart.

Oppgrader React / react-server-dom* til:

  • 19.0.1
  • 19.1.2
  • 19.2.1
    eller nyere.

Oppgrader Next.js til:

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7
    eller nyere.

Bruker du et annet RSC-basert rammeverk, følg deres offisielle sikkerhetsvarsler og oppdater så snart oppdateringene er tilgjengelige.

Ta kontakt

Atle
Sivertsen
Sales executive
+47 943 111 81atle.sivertsen@ivolv.no
Aktuelt

Flere artikler

Se alle

Ivolv sitt Incident Response Team er nå medlem av FIRST - et globalt nettverk for cybersikkerhet

Vi er stolte over å kunngjøre at Ivolvs Incident Response Team (IRT) nå er offisielt medlem av FIRST – Forum of Incident Response and Security Teams. Dette styrker vår evne til å håndtere sikkerhetshendelser.
September 15, 2025

Cybersecurity Graduate 2025

Nyutdannet på Bachelor- og Masternivå innen Cybersikkerhet og ønsker å kickstarte din karriere? Søk på landets råeste Cybersecurity Graduate Program!
September 18, 2025
Ivolv sin logo, i negativ versjon

Vassbotnen 23, 4033 Stavanger

+47 51 88 66 00

post@ivolv.no

Personvernerklæring