Te težave so odkrili varnostni raziskovalci med poskusi izkoriščanja popravkov, izdanih za CVE-2025-55182 (ocena CVSS: 10,0), kritično napako v RSC, ki je bila že zlorabljena v praksi.
Ranljivosti prizadenejo naslednje različice paketov react-server-dom-parcel, react-server-dom-turbopack in react-server-dom-webpack:
- CVE-2025-55184 in CVE-2025-55183 – različice 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 in 19.2.1
- CVE-2025-67779 – različice 19.0.2, 19.1.3 in 19.2.2
Varnostna raziskovalca RyotaK in Shinsaku Nomura sta zaslužna za prijavo dveh napak DoS v program Meta Bug Bounty, medtem ko je Andrew MacPherson priznan za prijavo ranljivosti uhajanja informacij.
Uporabnikom svetujejo, naj čim prej posodobijo na različice 19.0.3, 19.1.4 in 19.2.3, zlasti glede na aktivno izkoriščanje ranljivosti CVE-2025-55182.
»Ko je razkrita kritična ranljivost, raziskovalci podrobno pregledujejo sosednje kodne poti in iščejo različice tehnik izkoriščanja, da preverijo, ali je mogoče začetno ublažitev zaobiti,« je povedala ekipa React. »Ta vzorec se pojavlja v celotni industriji, ne le pri JavaScriptu. Dodatna razkritja so lahko frustrirajoča, vendar na splošno kažejo na zdrav odzivni cikel.«