React ist eine JavaScript-Bibliothek, die dazu dient, Benutzeroberflächen für Webanwendungen effizient aufzubauen. Sie arbeitet komponentenbasiert, wodurch sich einzelne UI-Bausteine wiederverwenden und dynamisch aktualisieren lassen. React wird vor allem genutzt, um schnell reagierende, interaktive Frontends zu entwickeln. Anwender, die React in ihren Projekten einsetzen, sollten die Bibliothek schnellstmöglich aktualisieren, um ein erhebliches Sicherheitsrisiko zu vermeiden. Ohne zeitnahes Update besteht die Gefahr, dass eine kritische Schwachstelle ausgenutzt wird und Angreifer durch eingeschleusten Schadcode vollständige Kontrolle über Systeme erlangen. Die erforderlichen Sicherheitsupdates stehen bereits zur Verfügung.
In einer aktuellen Warnmeldung wird erläutert, dass die unter CVE-2025-55182 geführte Lücke den maximalen CVSS-Wert erreicht und vor allem die React Server Components betrifft. Betroffen sind dabei bestimmte Module der Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0, unter anderem react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack. Laut den React-Verantwortlichen kann die Schwachstelle sogar Anwendungen gefährlich werden, die keine eigenen Serverfunktionen nutzen, sofern im Projekt React-Serverkomponenten eingebunden sind. Sicher bleiben nur Anwendungen, die vollständig ohne Serverfunktionen und ohne React Server Components auskommen.
Das Problem wurde in den Versionen 19.0.1, 19.1.2 und 19.2.1 behoben. Zusätzlich sind auch Frameworks und Bundler wie next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc und rwsdk betroffen. Für diese Werkzeuge sollen passende Updates nachgeliefert werden. Weitere Hinweise zum Einspielen der Aktualisierungen finden sich in der veröffentlichten Warnmeldung.
