Terug naar Blog
Security8 min

React2Shell: Kritieke Beveiligingslek in React 19 en Next.js - Wat U Nu Moet Doen

Semih Simsek

Op 3 december 2025 werd een van de meest ernstige kwetsbaarheden in de geschiedenis van het React ecosysteem onthuld. CVE-2025-55182, beter bekend als "React2Shell", maakt remote code execution (RCE) mogelijk op servers die React Server Components gebruiken. Met een CVSS score van 10.0 - de hoogst mogelijke - en actieve exploitatie door staatshackers, is onmiddellijke actie vereist.

  • CVSS Score: 10.0 (Kritiek) - Hoogste severity rating
  • Actief misbruikt door Chinese, Noord-Koreaanse en Iraanse hackers
  • Geen workaround beschikbaar - upgrade is de enige oplossing
  • Draai alle secrets na patching

Wat is React2Shell?

React2Shell is een kritieke kwetsbaarheid in het React Server Components (RSC) "Flight" protocol. Het probleem zit in onveilige deserialisatie van data die tussen client en server wordt uitgewisseld. Een aanvaller kan hierdoor zonder authenticatie willekeurige code uitvoeren op uw server.

Technische Details

  • Kwetsbaarheid in RSC Flight protocol deserialisatie
  • Geen authenticatie vereist voor exploitatie
  • Volledige server takeover mogelijk
  • Aanvallers kunnen environment variables, credentials en broncode stelen

Welke Versies Zijn Getroffen?

De kwetsbaarheid treft een breed scala aan React en Next.js versies:

React Versies

  • React 19.0.0 - 19.0.2
  • React 19.1.0 - 19.1.3
  • React 19.2.0 - 19.2.2

Next.js Versies

  • Next.js 14.3.0-canary.77 en hoger
  • Alle Next.js 15.x versies (voor patch)
  • Alle Next.js 16.x versies (voor 16.0.7)

Actieve Exploitatie in het Wild

Google heeft bevestigd dat minstens vijf Chinese staatshacker groepen deze kwetsbaarheid actief misbruiken. Ook Noord-Koreaanse en Iraanse actoren zijn betrokken bij de aanvallen.

Waargenomen Aanvalspatronen

Aanvallers vestigen shells om credentials te verzamelen uit environment variables, bestandssystemen en cloud instance metadata. AWS credentials worden Base64 gecodeerd voor exfiltratie.

Hoe Controleert U Of U Kwetsbaar Bent?

  1. 1

    Check uw React versie

    Open package.json en controleer de react versie. Versies 19.0.0-19.0.2, 19.1.0-19.1.3, en 19.2.0-19.2.2 zijn kwetsbaar.

  2. 2

    Check uw Next.js versie

    Controleer de next versie in package.json. Alle versies vanaf 14.3.0-canary.77 tot de gepatchte versies zijn getroffen.

  3. 3

    Gebruikt u Server Components?

    Als u de App Router gebruikt met Server Components (standaard in Next.js 13+), bent u waarschijnlijk kwetsbaar.

Onmiddellijke Acties

Gepatchte Versies

  • React: 19.0.3, 19.1.4, of 19.2.3
  • Next.js 15: upgrade naar 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, of 15.5.7
  • Next.js 16: upgrade naar 16.0.10 (minimaal 16.0.7)

Na de Upgrade: Draai Alle Secrets

Omdat aanvallers mogelijk al toegang hebben gehad tot uw systeem, is het essentieel om alle secrets te roteren:

  • Database wachtwoorden en connection strings
  • API keys (Stripe, SendGrid, etc.)
  • AWS/Azure/GCP credentials
  • JWT secrets en session keys
  • OAuth client secrets
  • Environment variables met gevoelige data

Aanvullende CVE's

Na de initiële patch werden twee aanvullende kwetsbaarheden ontdekt:

CVE-2025-55184

  • Denial of Service
  • CVSS: 7.5 (Hoog)
  • Kan applicatie laten crashen

CVE-2025-55183

  • Source Code Exposure
  • CVSS: 5.3 (Medium)
  • Broncode kan worden gelekt

Lessen voor de Toekomst

Deze kwetsbaarheid onderstreept het belang van proactief beveiligingsbeheer:

  • Implementeer automatische security updates voor dependencies
  • Monitor security advisories van React en Next.js
  • Gebruik tools zoals Snyk of Dependabot voor vulnerability scanning
  • Houd een incident response plan klaar
  • Overweeg een Web Application Firewall (WAF) als extra beveiligingslaag

Security is geen eenmalige actie, maar een continu proces. De React2Shell kwetsbaarheid toont aan hoe snel kritieke issues kunnen opduiken in populaire frameworks.

Semih Simsek

Conclusie

React2Shell is een wake-up call voor de JavaScript community. Met CVSS 10.0 en actieve exploitatie door staatshackers is dit geen kwetsbaarheid om te negeren. Upgrade uw applicaties vandaag nog, draai alle secrets, en implementeer een structureel security beleid om voorbereid te zijn op toekomstige dreigingen.

Hulp Nodig?

SEMSIT helpt bedrijven met het beveiligen van hun React en Next.js applicaties. Neem contact op voor een security audit of hulp bij het upgraden van uw applicaties.

Deel dit artikel: