Enkele dagen geleden is er een security bulletin (CVE-2025-55182) uitgevaardigd voor kritiek lek in Javascript applicaties. Het gaat om applicaties die gebruik maken van React Server Components en Next.js. Deze worden beide tegenwoordig veel gebruikt in nieuwe Javascript applicatie omgevingen. De CVSS score (= hoe impactvol het lek is) is 10.0, wat het extreem kritisch maakt. Hackers kunnen hierdoor direct infiltreren op applicatie niveau en misbruik maken. Het is zaak om direct te updaten, mocht je dit nog niet gedaan hebben.

Getroffen versies

Applicatie die gebruik maken van React Server Components met de App Router zijn kwetsbaar in de volgende versies:

• Next.js 15.x
• Next.js 16.x
• Next.js 14.3.0-canary.77 en latere canary releases (stable versies van 14.x is niet getroffen)

Next.js versies waarin het lek is verholpen:

• 15.0.5
• 15.1.9
• 15.2.6
• 15.3.6
• 15.4.8
• 15.5.7
• 16.0.7