Anfang Dezember 2025 gab das Team hinter „React“ – der am weitesten verbreiteten Technologie für heutige Websites und digitale Dienste – eine kritische Sicherheitslücke in einer seiner neuen Server-Funktion bekannt. Sicherheitsforscher nennen diesen Fehler „React2Shell“ und stufen ihn mit CVSS 10.0 als höchst kritisch ein, da er es Fremden ermöglicht, Code auf einem Server auszuführen, ohne sich anzumelden. Der Hacker muss lediglich eine spezielle Anfrage senden. Kein Passwort, kein Benutzerkonto, keine Benutzerinteraktion ist notwendig.