-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in React Server Components
Advisory ID     : NCSC-2025-0380
Versie          : 1.01
Kans            : high
CVE ID          : CVE-2025-55182, CVE-2025-66478
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Deserialization of Untrusted Data
Uitgiftedatum   : 20251205
Toepassing      : Meta Open Source react-server-dom-parcel
                  Meta Open Source react-server-dom-turbopack
                  Meta Open Source react-server-dom-webpack
                  Meta react-server-dom-parcel
                  Meta react-server-dom-turbopack
                  Meta react-server-dom-webpack
Versie(s)       :
Platform(s)     :

Update
   Het NCSC heeft middels een openbare bron vernomen dat misbruik van de
   kwetsbaarheid met kenmerk CVE-2025-55182 sinds 3 december is
   waargenomen. Inmiddels is er publieke proof-of-conceptcode
   beschikbaar voor de betreffende kwetsbaarheid, wat het risico op
   misbruik verhoogt.

Beschrijving
   React heeft kwetsbaarheden verholpen in bepaalde versies van React
   Server Components (specifiek voor versies 19.0.0, 19.1.0, 19.1.1 en
   19.2.0).

   Een ongeauthenticeerde aanvaller kan een malafide HTTP-verzoek sturen
   naar elke Server Function-endpoint dat, wanneer het door React wordt
   verwerkt, kan leiden tot remote code execution op de server. Echter,
   zelfs als een Server Function-endpoint niet is geïmplementeerd, kan
   exploitatie nog steeds mogelijk zijn via React Server Components.
   Door deze fout kunnen aanvallers op afstand willekeurige code
   uitvoeren, wat de integriteit van de getroffen applicaties ernstig in
   gevaar brengt.
   De kwetsbaarheid bevindt zich in de React versies 19.0, 19.1.0,
   19.1.1 en 19.2.0 van:
   - react-server-dom-webpack
   - react-server-dom-parcel
   - react-server-dom-turbopack
   Als bovengenoemde pakketten worden gebruikt, upgrade dan
   onmiddellijk. Deze kwetsbaarheid is verholpen in de versies 19.0.1,
   19.1.2 en 19.2.1. Als de React-code van uw applicatie geen server
   gebruikt, is uw applicatie niet gevoelig voor deze kwetsbaarheid.
   Eveneens, als uw applicatie geen framework, bundler of bundler-plugin
   gebruikt die React Server Components ondersteunt, is uw applicatie
   niet getroffen.
   De volgende React-frameworks en bundlers zijn getroffen:
   - Next
   - React Router
   - Waku
   - @parcel/rsc
   - @vitejs/plugin-rsc
   - rwsdk
   De kwetsbaarheid treft ook Next.js met App Router, en heeft hiervoor
   aanvankelijk het kenmerk CVE-2025-66478 toegewezen gekregen, maar is
   inmiddels als zelfstandig CVE-id teruggetrokken. De kwetsbaarheid
   bevindt zich in de Next.js-versies 14.3.0-canary, 15.x en 16.x en is
   verholpen in de volgende gepatchte versies: 14.3.0-canary.88, 15.0.5,
   15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 en 16.0.7.
   **Update**: Het NCSC heeft middels een openbare bron vernomen dat
   misbruik van de kwetsbaarheid met kenmerk CVE-2025-55182 sinds 3
   december is waargenomen. Inmiddels is er publieke proof-of-
   conceptcode beschikbaar voor de betreffende kwetsbaarheid, wat het
   risico op grootschalig misbruik verhoogt.

Mogelijke oplossingen
   React heeft beveiligingsupdates uitgebracht om de kwetsbaarhedeid te
   verhelpen. Het NCSC adviseert om deze updates zo snel mogelijk te
   installeren. Zie de instructies van React voor meer informatie.

   Referenties:
      Reference
      https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-
      groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

      Reference
      https://nvd.nist.gov/vuln/detail/CVE-2025-55182

      Reference
      https://nvd.nist.gov/vuln/detail/CVE-2025-66478

      Reference
      https://react.dev/blog/2025/12/03/critical-security-vulnerability-
      in-react-server-components

      Reference
      https://www.wiz.io/blog/critical-vulnerability-in-react-
      cve-2025-55182

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=gHkk
-----END PGP SIGNATURE-----