Anfang Dezember 2025 gab das Team hinter „React“ – der am weitesten verbreiteten Technologie für heutige Websites und digitale Dienste – eine kritische Sicherheitslücke in einer seiner neuen Server-Funktion bekannt. Sicherheitsforscher nennen diesen Fehler „React2Shell“ und stufen ihn mit CVSS 10.0 als höchst kritisch ein.