Uit onderzoek van de ShadowServer Foundation blijkt dat de kwetsbaarheid CVE-2025-55182, ook wel React2Shell genoemd, nog te vinden is op meer dan 100.000 publiek benaderbare IP-adressen, waaronder (op het moment van schrijven) meer dan 1600 in Nederland.
Gezien de ernst van dit lek met CVSS score van 10 uit 10 is dit een ernstige zaak en heeft de Amerikaanse evenknie van ons eigen NCSC dit lek toegevoegd aan hun lijst van Known Exploited Vulnerabilities (KEV) lijst.
Wat betekent dit concreet voor organisaties?
React en Next.js worden veel gebruikt in moderne webapplicaties. Daardoor kan deze kwetsbaarheid relevant zijn voor interne portals, klantapplicaties of cloudgehoste diensten, zelfs als ontwikkelteams zich niet bewust zijn van server‑componentconfiguraties. Actieve scans en exploitpogingen tonen dat het risico niet theoretisch is, maar dat verkeer naar kwetsbare endpoints daadwerkelijk wordt opgepikt door automatisering en monitoring van threat intelligence‑teams.
Praktische aandachtspunten
- Patch direct
Controleer of je React Server Components of Next.js‑versies gebruikt die RSC‑Flight‑protocol bevatten, en upgrade naar de gepatchte releases. - Internet‑exposure beperken
Beperk toegang tot applicaties die niet publiek hoeven te zijn. - Inspecteer configuraties
Zorg dat je weet welke endpoints server‑side functionaliteit aanbieden en monitor ongewoon gedrag rond die paden. - Controleer build‑ en deployment‑pipelines
Updates voor frameworks horen deel uit te maken van standaard CI/CD‑cycli. Zo voorkom je dat oude versies onopgemerkt blijven draaien. - Log en monitor
Zet alerts in voor afwijkende request‑patronen en proces‑executies die kunnen duiden op exploitpogingen.
Weten of je kwetsbaar bent?
Weet je niet zeker of je applicatie of service kwetsbaar is voor dit lek?
Wij kunnen je daarbij helpen. Neem contact met ons op, dan kunnen we dit samen analyseren.