Täyden kympin haavoittuvuus paljastui, miljoonat verkkosivustot vaarassa - React ja Next.js täytyy päivittää heti

Valtavan yleisestä React-kirjastosta on paljastunut haavoittuvuus, joka on saanut korkeimman mahdollisen riskiluokituksen, eli 10/10.

CVE-2025-55182 -haavoittuvuus koskee React Server Components -kokonaisuutta (RSC) ja sen tapaa purkaa (decode) sille lähetettyä tietoa (payload).

Vaikka verkkopalvelu ei käyttäisi lainkaan React Server Function -päätepisteitä, palvelussa voi silti olla RSC:ään kytkeytyvä haavoittuvuus.

Tietoturvayhtiö Wizin mukaan haavoittuvuus johtuu siitä, miten RSC purkaa (deserialize) vastaanottamaansa hyötykuormaa (payload).

Käytännössä hyökkääjä voi lähettää muokatun HTTP-pyynnön verkkopalvelun mihin tahansa käytössä olevaan Server Function -API-osoitteeseen (endpoint). Sopivasti muokattu kutsu mahdollistaa käsittelyssä olevasta bugista johtuen sen, että hyökkääjä voi suorittaa mitä tahansa JavaScript-koodia palvelun taustapalvelimella.

Haavoittuvuus koskee Reactin npm-paketteja, joiden versionumerot ovat 19.0, 19.1.0, 19.1.1 tai 19.2.0. Haavoittuvuus on paikattu versioissa 19.0.1, 19.1.2 ja 19.2.1.

Haavoittuvuuden löysi uusiseelantilainen tietoturvatutkija Lachlan Davidson. Hän ilmoitti haavoittuvuudesta React -projektille 29.11.2025, jotta haavoittuvuus ehdittiin paikata ennen sen julkaisua.

Haavoittuvuus koskee myös Next.js:ää käyttäviä palveluita, jotka käyttävät myös App Routeria. Next.js:llekin on julkaistu jo paikatut versiot: turvallisia Next.js:n versioita ovat 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 sekä 16.0.7.

Sekä Next.js että React kehottavat päivittämään versiot välittömästi. Molemmat ovat avoimen lähdekoodin projekteja.

• JavaScript
• haavoittuvuus
• tietoturva