A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.

Metrics

No CVSS v4.0

Attack Vector Network

Attack Complexity Low

Privileges Required None

Scope Unchanged

Confidentiality Impact None

Integrity Impact None

Availability Impact High

User Interaction None

No CVSS v3.0

No CVSS v2

This CVE is not in the KEV list.

The EPSS score is 0.17001.

Exploitation poc

Automatable yes

Technical Impact partial

Affected Vendors & Products

Vendors Products
Facebook Subscribe
React Subscribe
React-server-dom-parcel Subscribe
React-server-dom-turbopack Subscribe
React-server-dom-webpack Subscribe
Vercel Subscribe
Next.js Subscribe

Configuration 1 [-]

OR cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*

Configuration 2 [-]

OR cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary58:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary59:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary9:*:*:*:node.js:*:*

No data.

OpenCVE Enrichment is a feature of OpenCVE that uses AI to automatically link vendors and products to CVEs. Learn more on GitHub.

Vendors Products
Facebook Subscribe
React-server-dom-parcel Subscribe
React-server-dom-turbopack Subscribe
React-server-dom-webpack Subscribe
Advisories
Source ID Title
Github GHSA Github GHSA GHSA-2m3v-v2m8-q956 Denial of Service Vulnerability in React Server Components
Fixes

Solution

No solution given by the vendor.

Workaround

No workaround given by the vendor.

References
Link Providers
https://github.com/KingHacker353/CVE-2025-55184 cve-icon cve-icon
https://nvd.nist.gov/vuln/detail/CVE-2025-55184 cve-icon
https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components cve-icon cve-icon cve-icon
https://www.cve.org/CVERecord?id=CVE-2025-55184 cve-icon
https://www.facebook.com/security/advisories/cve-2025-55184 cve-icon cve-icon cve-icon
History

Mon, 15 Dec 2025 17:15:00 +0000

Type Values Removed Values Added
References
Metrics ssvc

{'options': {'Automatable': 'yes', 'Exploitation': 'poc', 'Technical Impact': 'partial'}, 'version': '2.0.3'}

Mon, 15 Dec 2025 12:30:00 +0000

Type Values Removed Values Added
Title next: React Server Components: Denial of Service via unsafe HTTP deserialization
References
Metrics threat_severity

None

 threat_severity

Important

Fri, 12 Dec 2025 18:30:00 +0000

Type Values Removed Values Added
First Time appeared Facebook react
Vercel
Vercel next.js
Weaknesses CWE-502
CPEs cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary58:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary59:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary9:*:*:*:node.js:*:*
Vendors & Products Facebook react
Vercel
Vercel next.js

Fri, 12 Dec 2025 09:00:00 +0000

Type Values Removed Values Added
First Time appeared Facebook
Facebook react-server-dom-parcel
Facebook react-server-dom-turbopack
Facebook react-server-dom-webpack
Vendors & Products Facebook
Facebook react-server-dom-parcel
Facebook react-server-dom-turbopack
Facebook react-server-dom-webpack

Thu, 11 Dec 2025 20:15:00 +0000

Type Values Removed Values Added
Description A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.
References
Metrics cvssV3_1

{'score': 7.5, 'vector': 'CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H'}

Projects

Sign in to view the affected projects.

cve-icon MITRE

Status: PUBLISHED

Assigner: Meta

Published:

Updated: 2025-12-15T16:37:06.708Z

Reserved: 2025-08-08T18:21:47.119Z

Link: CVE-2025-55184

cve-icon Vulnrichment

Updated: 2025-12-15T16:36:45.363Z

cve-icon NVD

Status : Modified

Published: 2025-12-11T20:16:00.610

Modified: 2025-12-15T17:15:53.073

Link: CVE-2025-55184

cve-icon Redhat

Severity : Important

Publid Date: 2025-12-11T20:05:01Z

Links: CVE-2025-55184 - Bugzilla

cve-icon OpenCVE Enrichment

Updated: 2025-12-12T08:49:20Z

Weaknesses