React-kirjaston kehittäjätiimi on julkaissut tiedon kriittisestä tietoturva-aukosta (CVE-2025-55182), joka koskee React Server Components (RSC) -toiminnallisuutta. Tämä haavoittuvuus mahdollistaa tunnistautumattoman etähallinnan (remote code execution, RCE) tietyissä React 19 -versioissa sekä siihen perustuvissa frameworkeissa, kuten Next.js (versiot 15.x ja 16.x).
Haavoittuvuus johtuu turvattomasta deserialisoinnista RSC:n ”Flight”-protokollassa, ja se voi vaikuttaa sovelluksiin jopa ilman eksplisiittisesti määriteltyjä Server Functions -endpointteja, kunhan sovellus tukee React Server Componentsia.
Ongelma ei koske kotisivut.comin omia palvelimia eikä hosting-ympäristöämme. Olemme varmistaneet, että palvelumme eivät käytä haavoittuvia React-versioita.
Jos ylläpidät omaa sovellusta (esim. Next.js-pohjaista) kotisivut.comin palvelimilla, suosittelemme kiireellisesti tarkistamaan sovelluksesi tietoturvan:
- Päivitä React ja siihen liittyvät paketit (kuten react-server-dom-*) uusimpiin korjattuihin versioihin (vähintään React 19.0.3 tai uudempi).
- Next.js-käyttäjille: Päivitä versioon, jossa korjaus on mukana (esim. Next.js 15.x tai 16.x patched-versiot).
- Tarkista riippuvuudet komennolla npm ls react tai vastaavalla työkalulla.
Lisätietoja haavoittuvuudesta ja korjauksista löydät esim. Kyberturvallisuuskeskuksen sivuilta
https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_23/2025
Jos tarvitset apua sovelluksesi päivityksessä tai tietoturvatarkistuksessa, ota yhteyttä tukeemme. Asiakastukemme ja tekninen tiimimme on tukenasi kaikissa tietoturvakysymyksissä!