Op 3 december 2025 heeft React een blogpost gepubliceerd waarin een kritieke kwetsbaarheid, aangeduid met CVE-2025-558182, wordt besproken. Deze kwetsbaarheid heeft betrekking op React en Next.js.

Het Nationaal Cyber Security Centrum (NCSC) heeft naar aanleiding van deze informatie een beveiligingsadvies met de classificatie HIGH/HIGH uitgebracht. Organisaties die deze software gebruiken, worden dringend geadviseerd om de aanbevelingen in dit advies op te volgen.