React2Shell: Kritische Schwachstelle in React und Next.js aktiv ausgenutzt
Am 3. Dezember 2025 tauchte eine neue Software-Schwachstelle mit maximaler CVSS-Bewertung auf, welche React (auch bekannt als ReactJS) betrifft und die Cybersicherheitslandschaft erschütterte. Die als React2Shell bezeichnete Schwachstelle CVE-2025-55182 wird bereits aktiv ausgenutzt. Es wird dringend geraten, Systeme auf Anfälligkeit zu überprüfen und sofort einen Patch zu installieren, falls Sie betroffen sind. React ist die beliebteste JavaScript-Bibliothek für die Erstellung moderner Benutzeroberflächen (UIs) für Webanwendungen, was bedeutet, dass die globalen Auswirkungen weitreichend sein könnten. Greenbone stellt eine kostenlose Testversion von OPENVAS BASIC bereit, um Ihre Unternehmens-IT-Infrastruktur auf neue Bedrohungen wie React2Shell zu scannen.
CVE-2025-55182 (CVSS 10.0) ermöglicht eine nicht authentifizierte serverseitige Remote-Code-Ausführung (RCE) in den Standardkonfigurationen von React 19. Die Schwachstelle besteht im „Flight”-Protokoll der React Server Components (RSC). RSC ist ein Framework und eine Reihe von Bibliotheken, die es React 19-Anwendungen ermöglichen, Anwendungslogik zur Verarbeitung an den Server zurückzugeben, anstatt sie im Client-Browser auszuführen. Das Flight-Protokoll ist das Serialisierungsformat von React für den Transport von RSC-Nutzdaten (Payloads).
React2Shell ermöglicht die unsichere Deserialisierung von Flight-Nutzdaten auf dem Server [CWE-502], wodurch die Ausführung nicht authentifizierter Shell-Befehle möglich wird. Die Ausnutzung dieser Schwachstelle ermöglicht potenziell die vollständige Kompromittierung des Angriffsziels, einschließlich der Fernsteuerung.
Die Bedrohungslage ist aktiv und eskalierend. AWS war der erste Cloud-Dienst, der aktive Ausnutzung festgestellt hat. Seitdem haben mehrere IaaS-Provider aktive Angriffe gemeldet. Berichte haben Kampagnen aufgedeckt, die darauf abzielen, Fernzugriffstools [T1219], Proxy-Traffic-Relays [T1090] und Botnet-Agenten [T1583.004] zu installieren und infizierte Hosts für das Schürfen von Kryptowährungen [T1496] zu nutzen. GreyNoise hat Hunderte verschiedene IP-Adressen verfolgt, die Exploits versucht haben, und die Shadowserver Foundation meldet weltweit etwa 160.000 anfällige Instanzen.
Die Schwachstelle wurde in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen, und weltweit wurden zahlreiche nationale CERT-Warnungen für CVE-2025-55182 herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17]. Es sind mehrere öffentliche PoC-Exploits verfügbar [18][19][20], darunter einer von Lachlan Davidson [21], dem Sicherheitsforscher, der die React2Shell-Sicherheitslücke identifiziert und offengelegt hat. Diese öffentlichen PoCs erhöhen das Risiko fortgeschrittener Angriffe.
Wie funktioniert React2Shell (CVE-2025-55182)?
JavaScript-Prototypenverschmutzung [CWE-1321] wurde in React 19 als möglich identifiziert, da die Deserialisierungslogik serialisierte Objektparameter nicht ausreichend validierte. Wenn RSC JavaScript-Objekte aus Flight-Payloads rekonstruiert, können vom Eindringling kontrollierte spezielle Schlüssel die Prototyp-Kette falsch konfigurieren. Dies kann zu Laufzeitänderungen führen, die über das unmittelbar rekonstruierte Objekt hinausgehen. Im Fall von CVE-2025-55182 umfasst dies den Aufruf nativer Node.js-Funktionen wie child_process.execSync, um Shell-Befehle auf dem Zielserver auszuführen.
Welche Produkte sind von React2Shell (CVE-2025-55182) betroffen?
Laut offiziellen Hinweisen von React [1][2] betrifft React2Shell die Komponenten react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack der React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0. Diese Komponenten sind in der Standardkonfiguration aktiviert. React2Shell betrifft auch wichtige Frameworks, die React 19s RSC enthalten, wie beispielsweise das sehr beliebte Web-Framework Next.js.
React 19.0.0, veröffentlicht am 5. Dezember 2024, war die erste Version, die nicht-experimentelle RSC-Funktionalität enthielt. Das bedeutet, dass CVE-2025-55182 vor allem neuere Websites und Organisationen betrifft, die ihre Webserver-Infrastruktur regelmäßig aktualisieren. Da RSC standardmäßig aktiviert sind, sind alle Endpunkte potenziell anfällig, auch wenn die Serverfunktionen nicht implementiert sind.
Laut dem offiziellen Blogbeitrag auf react.dev sind unter anderem folgende Frameworks betroffen:
- js (siehe Vendor-Hinweis)
- Vite RSC-Plugin (siehe Vendor-Hinweis)
- Parcel RSC-Plugin
- React Router RSC-Preview
- Expo app-building platform (siehe Vendor-Hinweis)
- RedwoodSDK
- Waku (siehe Vendor-Hinweis)
React2Shell (CVE-2025-55182) Risikominderung
Website-Backend-Developer sollten ihre Infrastruktur überprüfen, um festzustellen, ob React 19 Teil ihres Web-Stacks ist. Um anfällige Instanzen zu erkennen, enthält der OPENVAS ENTERPRISE FEED eine Remote-Versionsprüfung für Vercel Next.js und eine aktive Prüfung, die eine HTTP-Anfrage sendet, um zu überprüfen, ob Ziele anfällig sind.
Die wirksamste Abhilfemaßnahme ist ein Upgrade auf eine gepatchte Version von React in Ihrer Release-Linie. Dies sind React 19.0.1, 19.1.2 oder 19.2.1. Die Ausnutzung kann auch über eine Webanwendungs-Firewall (WAF) verhindert werden, und viele Cloud-IaaS-Dienste haben WAF-Regeln zur Abhilfe veröffentlicht [1][2][3][4][5].
Die gepatchten Versionen von React und Next.js für jede Release-Linie sind:
Next.js 14.3.0-canary.77 oder einer späteren Canary-Version sollten ein Downgrade auf die neueste stabile 14.x-Version erhalten. Laut der offiziellen Empfehlung von Next.js sind Next.js 13.x, Next.js 14.x stable, Pages Router-Anwendungen und die Edge Runtime nicht betroffen. Anweisungen zum Aktualisieren anderer betroffener Frameworks von Dritten finden Sie in der offiziellen Empfehlung von React.
Zusammenfassung
React2Shell (CVE-2025-55182) ist eine CVSS 10.0, nicht authentifizierte RCE im Flight-Protokoll der React 19 Server Components. Die Ursache ist eine unsichere serverseitige Deserialisierung im Flight-Protokoll. React2Shell betrifft auch wichtige Frameworks, die React 19s RSC enthalten, wie beispielsweise das sehr beliebte Web-Framework Next.js.
Die Schwachstelle gilt als aktiv ausgenutzt, mit öffentlich zugänglichen PoCs und einer Vielzahl von nationalen CERT-Hinweisen weltweit. Verteidigungsteams sollten eine Expositionsbewertung durchführen und, wenn möglich, WAF-Regeln implementieren, um die Ausnutzung vorübergehend zu mindern, während sie dringende Upgrades auf gepatchte Versionen von React 19 und anderen betroffenen Frameworks planen. Greenbone stellt eine kostenlose Testversion von OPENVAS BASIC bereit, um Ihre Unternehmens-IT-Infrastruktur auf neue Bedrohungen wie React2Shell zu scannen.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
