Menu

Allvarlig sårbarhet i React – så skyddar du din app

,

I onsdags den här veckan så bekräftade React att ett kritiskt säkerhetshål upptäckts i deras mjukvara. Sårbarheten gör det möjligt för angripare att ta kontroll över servrar på distans utan att behöva autentisera sig. Sårbarheten har fått ett CVSS-värde på 10.0, vilket är det högsta möjliga värdet – med andra ord extremt allvarligt.

Vid första anblick kan detta verka som en nyhet enbart för programmerare och IT-avdelningar. Men det påverkar faktiskt en stor mängd vanliga företag och entreprenörer som inte ser sig själva som tekniska. Anledningen stavas ”vibe coding” – den enorma trend som exploderat under 2025 där verktyg som Lovable, Cursor och Google gjort det möjligt för vem som helst att bygga appar.

Nedan förklarar vi på ett otekniskt sätt vad som har hänt, hur det kan påverka din verksamhet, och vad du behöver göra om ni är i farozonen.

React i programmering

React är ett kodbibliotek baserat på programmeringsspråket Javascript. Man kan likna det vid en enorm låda med färdiga legobitar som används för att bygga moderna webbplatser. Det är utvecklat av Facebook (Meta) och är idag ryggraden i miljontals webbplatser världen över. Dess popularitet beror på att det är flexibelt och kan användas för att bygga både det du ser på skärmen (frontend) och logiken som sker bakom kulisserna (backend).

Vibe coding – när AI bygger appen åt dig

I början av 2025 såg flera företag potentialen i att låta AI koppla hela applikationer med minimal eller ingen mänsklig inblandning. Allt som krävs är att skriva en välformulerad prompt – precis som i ChatGPT – och sedan kommer en AI-agent skapa en applikation för dig. Detta fenomenet fick smeknamnet ”vibe coding” och har omkullkastat hela programmeringsbranschen. Plötsligt kan marknadschefer, grundare och hobbykreatörer skapa avancerade tjänster utan att skriva en rad kod själva.

En av de mest kända aktörerna inom vibe coding är det svenska företaget Lovable, som har hjälpt miljontals människor att skapa applikationer. Genom att skriva en prompt och svara på lite frågor så skapar deras AI-agent en applikation för dig. Om du tycker att den ser bra ut, är det enkelt att köpa en domän och webbutrymme via Lovable – och helt plötsligt har du en fullt fungerande webbapplikation eller hemsida.

En annan populär leverantör av vibe coding-tjänster är Cursor, som är ett program på datorn där du skriver kod tillsammans med AI. Det kräver lite mer tekniska kunskaper än Lovable, men är fortfarande en kraftig förenkling för den som inte talar flytande HTML, CSS eller Javascript (eller SQL!). Framför allt behöver du själv se till att publicera applikationen på internet genom att manuellt hosta applikationen och koppla din domän dit.

Därför är Vibe Coders drabbade

När du vibe-kodar en applikation  så väljer AI:n oftast själv vilka programmeringsspråk och kodbaser som ska användas. När du ber Lovable eller Cursor att bygga en app, väljer AI:n oftast att bygga den just med React.

Om du har skapat en applikation i Lovable, hostat den på sin egen hemsida eller lagt in på din hemsida, så är du i riskzonen för att bli hackad. Medan det är enkelt att skapa applikationer med hjälp av vibe coding, så är det mycket svårare att underhålla och uppdatera koden.

Jag har en React-applikation – vad gör jag?

För dig som använder Lovable
Logga in i verktyget. Be AI-agenten specifikt att ”Uppdatera alla beroenden, särskilt React, till den senaste säkra versionen”. Lovable har oftast inbyggda funktioner för att skanna koden, men du måste aktivt be den göra en ny publicering (deploy) för att säkerhetshålet ska täppas till ute på nätet. Är du osäker? Kontakta supporten eller en teknisk partner som Straznet.

För dig som använder Cursor eller Claude Code
Här ligger ansvaret tyngre på dig. Om du själv har laddat upp koden till en server måste du manuellt se till att uppdatera filerna. React har släppt instruktioner för vilka versioner som är säkra. Du kan be din AI-assistent i Cursor att försöka hjälpa dig med prompten: ”Check my package.json and update React to the patched version to fix CVE-2025-55182”. Publicera sedan om appen omedelbart.

För dig som hostar hos Google
Många React-appar körs via Googles molntjänster. Google har själva implementerat vissa skyddsåtgärder som akut åtgärd. Men du måste fortfarande uppdatera din egen kod för att vara säker.

Sammanfattningsvis: Om din app är byggd av AI, måste du be AI:n att uppdatera den nu – vänta inte!

Related Posts

Daisy Chain-setup med två skärmar och en laptop

Skaffa flexibla arbetsplatser med Daisy Chain

Som IT-konsulter spenderar vi på Straznet en hel del tid framför datorskärmen. Förutom att vi själva gör våra dagliga sysslor i form av programmering och administration, så testar vi ständigt nya produkter. Dels av intresse och nöje – men även för att känna till vilka produkter vi vill rekommendera till våra kunder. Generellt har vi […]

anställda som genomfört it-revision innan semestern

IT-avbrott under semestern: Är er verksamhet förberedd?

Sommaren har slagit till på riktigt och med det har majoriteten av oss tagit semester från arbetet. Men även om du själv har tagit semester, så brukar företaget ändå vara igång på ett eller annat sätt. Om inte aktivt genom den faktiska verksamheten, så är såväl digitala kanaler som servrar och nätverk igång hela sommaren. […]