На 3 декември 2025 г. бяха публично разкрити критични уязвимости (CVE-2025-55182 и дублираният CVE-2025-66478) във Flight протокола, използван от React Server Components. Пропускът позволява на неавтентикирани атакуващи да изпълняват произволен код на сървъра чрез небезопасна десериализация на HTTP заявки. Уязвимостта е с максимален CVSS рейтинг 10.0 и се експлоатира почти 100% надеждно срещу стандартни конфигурации, макар към момента да няма данни за атаки в реална среда.
Засегнати са екосистемите на React 19 и Next.js 15–16, както и рамки и библиотеки, внедряващи react-server имплементации (React Router, Waku, RedwoodSDK, Parcel, Vite RSC плъгини). Това е една от най-мащабните RCE заплахи за JavaScript приложения досега.
Препоръките включват незабавно обновяване до пачнатите версии: React 19.0.1/19.1.2/19.2.1 и Next.js 16.0.7 или съответните фиксирани издания от серия 15.x. Клиентите на Palo Alto Networks получават защити чрез Cortex XDR, XSIAM и възможност за ангажиране на Unit 42 за реакция при инциденти или превантивна оценка.