Op 3 december 2025 heeft React een blogpost gepubliceerd waarin een kritieke kwetsbaarheid wordt besproken, aangeduid met CVE-2025-558182. Deze kwetsbaarheid heeft betrekking op React en Next.js.

Het Nationaal Cyber Security Centrum (NCSC) heeft naar aanleiding van deze publicatie een beveiligingsadvies met de classificatie HIGH/HIGH uitgebracht. Organisaties die deze software gebruiken, worden dringend geadviseerd om dit advies op te volgen.