A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.

Metrics

No CVSS v4.0

Attack Vector Network

Attack Complexity Low

Privileges Required None

Scope Unchanged

Confidentiality Impact None

Integrity Impact None

Availability Impact High

User Interaction None

No CVSS v3.0

No CVSS v2

This CVE is not in the KEV list.

Exploitation poc

Automatable yes

Technical Impact partial

Affected Vendors & Products

Vendors Products
Facebook
  • React
  • React-server-dom-parcel
  • React-server-dom-turbopack
  • React-server-dom-webpack
Vercel
  • Next.js

Configuration 1 [-]

OR cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*

Configuration 2 [-]

OR cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary58:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary59:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary9:*:*:*:node.js:*:*

No data.

References
Link Providers
https://github.com/KingHacker353/CVE-2025-55184 cve-icon cve-icon
https://nvd.nist.gov/vuln/detail/CVE-2025-55184 cve-icon
https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components cve-icon cve-icon cve-icon
https://www.cve.org/CVERecord?id=CVE-2025-55184 cve-icon
https://www.facebook.com/security/advisories/cve-2025-55184 cve-icon cve-icon cve-icon
History

Mon, 15 Dec 2025 17:15:00 +0000

Type Values Removed Values Added
References
Metrics ssvc

{'options': {'Automatable': 'yes', 'Exploitation': 'poc', 'Technical Impact': 'partial'}, 'version': '2.0.3'}

Mon, 15 Dec 2025 12:30:00 +0000

Type Values Removed Values Added
Title next: React Server Components: Denial of Service via unsafe HTTP deserialization
References
Metrics threat_severity

None

 threat_severity

Important

Fri, 12 Dec 2025 18:30:00 +0000

Type Values Removed Values Added
First Time appeared Facebook react
Vercel
Vercel next.js
Weaknesses CWE-502
CPEs cpe:2.3:a:facebook:react:*:*:*:*:*:*:*:*
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary58:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary59:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:15.6.0:canary9:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:-:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary0:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary10:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary11:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary12:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary13:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary14:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary15:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary16:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary17:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary18:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary1:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary2:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary3:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary4:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary5:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary6:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary7:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary8:*:*:*:node.js:*:*
cpe:2.3:a:vercel:next.js:16.1.0:canary9:*:*:*:node.js:*:*
Vendors & Products Facebook react
Vercel
Vercel next.js

Fri, 12 Dec 2025 09:00:00 +0000

Type Values Removed Values Added
First Time appeared Facebook
Facebook react-server-dom-parcel
Facebook react-server-dom-turbopack
Facebook react-server-dom-webpack
Vendors & Products Facebook
Facebook react-server-dom-parcel
Facebook react-server-dom-turbopack
Facebook react-server-dom-webpack

Thu, 11 Dec 2025 20:15:00 +0000

Type Values Removed Values Added
Description A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.
References
Metrics cvssV3_1

{'score': 7.5, 'vector': 'CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H'}
cve-icon MITRE

Status: PUBLISHED

Assigner: Meta

Published: 2025-12-11T20:05:01.328Z

Updated: 2025-12-15T16:37:06.708Z

Reserved: 2025-08-08T18:21:47.119Z

Link: CVE-2025-55184

cve-icon Vulnrichment

Updated: 2025-12-15T16:36:45.363Z

cve-icon NVD

Status : Modified

Published: 2025-12-11T20:16:00.610

Modified: 2025-12-15T17:15:53.073

Link: CVE-2025-55184

cve-icon Redhat

Severity : Important

Publid Date: 2025-12-11T20:05:01Z

Links: CVE-2025-55184 - Bugzilla