React Server Components hebben een Denial of Service Vulnerabiliteit

Een succesvolle exploitatie van deze DoS-kwetsbaarheid kan leiden tot een significante verstoring van de dienstverlening. Aanvallers kunnen de server overbelasten door een stroom van speciaal gevormde HTTP-verzoeken te sturen, waardoor de CPU-belasting aanzienlijk toeneemt en de server mogelijk niet meer in staat is om legitieme verzoeken te verwerken. Dit kan resulteren in een tijdelijke of permanente onbeschikbaarheid van de applicatie. De kwetsbaarheid maakt gebruik van Server Function endpoints, wat betekent dat applicaties die deze functionaliteit gebruiken bijzonder kwetsbaar zijn. Het excessieve CPU-gebruik duurt tot een minuut en eindigt met een error die wel opgevangen kan worden, maar de impact op de serverprestaties blijft aanzienlijk.

Applications utilizing React Server Components and relying on the vulnerable react-server-dom-parcel, react-server-dom-turbopack, or react-server-dom-webpack packages are at risk. This includes projects using modern React development workflows and those deploying Server Functions to handle backend logic. Specifically, teams with limited resources or those running applications on shared hosting environments are particularly vulnerable due to the potential for resource exhaustion.

• nodejs / server: Monitor CPU utilization on servers running react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. Look for sustained high CPU usage without corresponding user activity.

  top -n 1 | grep -E 'react-server-dom-parcel|react-server-dom-turbopack|react-server-dom-webpack'

• nodejs / server: Examine application logs for errors related to excessive CPU usage or exceptions thrown within Server Function endpoints.

grep -i 'cpu usage|server function error' /var/log/app/application.log

• generic web: Monitor HTTP request patterns to Server Function endpoints for unusual activity, such as a sudden surge in requests from a single IP address.

  curl -v <server_function_endpoint> # Examine request/response headers for anomalies

1. 2026-04-10Disclosure

   disclosure

1. Gereserveerd2026-01-16
2. Gepubliceerd2026-04-10
3. EPSS bijgewerkt2026-04-16

De primaire mitigatie voor deze kwetsbaarheid is het updaten van de betreffende packages naar versie 19.0.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van rate limiting op Server Function endpoints om het aantal verzoeken per IP-adres te beperken. Een Web Application Firewall (WAF) kan ook worden geconfigureerd om verdachte HTTP-verzoeken te blokkeren. Controleer de configuratie van Server Functions om er zeker van te zijn dat er geen onnodige blootstelling is. Na de upgrade, controleer de CPU-belasting van de server om te bevestigen dat de kwetsbaarheid is verholpen.