Kritieke React/Next.js-kwetsbaarheid: wat je moet weten
Recent is een ernstige kwetsbaarheid ontdekt in React Server Components (RSC) en de server-implementatie in Next.js. De bug, bekend onder de naam React2Shell, is officieel geregistreerd als CVE-2025-55182 voor React en CVE-2025-66478 voor Next.js.
Het bijzondere (en zorgwekkende) is dat de kwetsbaarheid op afstand en zonder authenticatie misbruikt kan worden. Een enkele speciaal vervormde HTTP-request is genoeg om op de server arbitraire JavaScript-code uit te voeren.
Ook systemen die geen expliciete “Server Function” endpoints implementeren kunnen kwetsbaar zijn, zolang de RSC-module actief is. Dat betekent dat veel apps standaard onder invloed kunnen vallen — zonder dat er eigen “gevaarlijke” code is toegevoegd.
Waarom dit relevant is
React en Next.js behoren tot de meest gebruikte web-frameworks in moderne cloudomgevingen. Volgens schattingen draait ongeveer 39% van de cloudapplicaties met een potientieel kwetsbare React/Next.js-configuratie.
Dat maakt de impact van React2Shell potentieel groot. Webapps, dashboards, interne portals of SaaS-applicaties die gebruikmaken van React Server Components kunnen onder onzichtbare dreiging staan.
Hoewel er tot nu toe nog geen massale misbruik-golven bekend zijn, waarschuwen beveiligingsonderzoekers dat de kwetsbaarheid “zeer eenvoudig te misbruiken” is en dat het slechts een kwestie van tijd is voordat er publieke exploit-code beschikbaar komt.
Wat kun je als organisatie doen — praktische tips
1. Inventariseer je applicaties
Breng in kaart welke webapplicaties React / Next.js gebruiken — en of de RSC-modules actief zijn. Zowel front- als backend.
2. Update direct naar gepatchte versies
Voor React: upgrade naar versie 19.0.1, 19.1.2 of 19.2.1 (of nieuwer)
Voor Next.js: installeer de versies 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 of 16.0.7 (of later)
3. Beperk en monitor server-function endpoints
Zet Server-Function endpoints alleen open voor vertrouwde bronnen of interne netwerken. Gebruik indien mogelijk web-applicatie firewalls (WAF) of edge-security om inkomende requests te filteren.
4. Verifieer je supply chain en dependencies
Controleer of andere frameworks of bundlers die RSC ondersteunen (of bundelen) niet alsnog kwetsbaar zijn. Sommige alternatieven implementeren dezelfde problematische RSC-logic.
5. Integreer in je patch- en release-cyclus
Zorg dat updates niet incidenteel gebeuren, maar structureel ingebouwd zijn in deployments en build pipelines. Documenteer dependencies en voer periodieke audits uit.
Waarom continue aandacht nodig is
React2Shell laat zien dat kwetsbaarheden niet altijd het gevolg zijn van eigen code of configuratiefouten, soms zit het in frameworks en libraries zelf. Gebruik van populaire frameworks levert veel op, maar verhoogt ook de verantwoordelijkheid om up-to-date te blijven.
Als organisatie is het verstandig om software-componenten niet als “constants” te beschouwen, maar als dynamische elementen die onderhoud nodig hebben. Zo hou je de controle en beperk je risico’s, ook bij externe libraries.
RiskGuard helpt
Heb je zelf React of Next.js in gebruik? Of heb je geen idee of dit ergens in gebruik is? Wij kunnen helpen met het in kaart brengen van kwetsbare omgevingen, uitvoeren van audits, patch-management en supply-chain review. Daarmee zorgen we dat je applicaties veilig blijven — ook als de onderliggende software verandert.
Neem gerust contact op voor een scan of advies op maat.