-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in React Server Components
Advisory ID     : NCSC-2025-0380
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2025-55182, CVE-2025-66478
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Deserialization of Untrusted Data
Uitgiftedatum   : 20251203
Toepassing      : Meta Open Source react-server-dom-parcel
                  Meta Open Source react-server-dom-turbopack
                  Meta Open Source react-server-dom-webpack
                  Meta react-server-dom-parcel
                  Meta react-server-dom-turbopack
                  Meta react-server-dom-webpack
Versie(s)       :
Platform(s)     :

Beschrijving
   React heeft kwetsbaarheden verholpen in bepaalde versies van React
   Server Components (specifiek voor versies 19.0.0, 19.1.0, 19.1.1 en
   19.2.0).

   Een ongeauthenticeerde aanvaller kan een malafide HTTP-verzoek sturen
   naar elk Server Function-endpoint dat, wanneer het door React wordt
   verwerkt, kan leiden tot remote code execution op de server. Echter,
   zelf als een Server Function-endpoint niet is geïmplementeerd, kan
   exploitatie nog steeds mogelijk zijn via React Server Components.
   Door deze fout kunnen aanvallers op afstand willekeurige code
   uitvoeren, wat de integriteit van de getroffen applicaties ernstig in
   gevaar brengt.
   De kwetsbaarheid bevindt zich in de React versies 19.0, 19.1.0,
   19.1.1 en 19.2.0 van:
   - react-server-dom-webpack
   - react-server-dom-parcel
   - react-server-dom-turbopack
   Als bovengenoemde pakketten worden gebruikt, upgrade dan
   onmiddellijk. Deze kwetsbaarheid is verholpen in de versies 19.0.1,
   19.1.2 en 19.2.1. Als de React-code van uw applicatie geen server
   gebruikt, is uw applicatie niet kwetsbaar voor deze kwetsbaarheid.
   Eveneens, als uw applicatie geen framework, bundler of bundler-plugin
   gebruikt die React Server Components ondersteunt, is uw applicatie
   niet getroffen.
   De volgende React-frameworks en bundlers zijn getroffen:
   - Next
   - React Router
   - Waku
   - @parcel/rsc
   - @vitejs/plugin-rsc
   - rwsdk
   De kwetsbaarheid treft ook Next.js met App Router, en heeft het
   kenmerk CVE-2025-66478. De kwetsbaarheid bevindt zich in de Next.js-
   versies 14.3.0-canary, 15.x en 16.x en is verholpen in de volgende
   gepatchte versies: 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6,
   15.4.8, 15.5.7 en 16.0.7.

Mogelijke oplossingen
   React heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te
   verhelpen. Het NCSC adviseert om deze updates zo snel mogelijk te
   installeren. Zie de instructies van React voor meer informatie.

   Referenties:
      Reference
      https://nvd.nist.gov/vuln/detail/CVE-2025-55182

      Reference
      https://nvd.nist.gov/vuln/detail/CVE-2025-66478

      Reference
      https://react.dev/blog/2025/12/03/critical-security-vulnerability-
      in-react-server-components

      Reference
      https://www.wiz.io/blog/critical-vulnerability-in-react-
      cve-2025-55182

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=V1sH
-----END PGP SIGNATURE-----