03.12.2025 19:00

Schwerwiegende Sicherheitslücke in React und Next.js

Ein Sicherheitsforscher hat in der Server-Komponente ("RSC") des Javascript-Frameworks React eine schwerwiegende Sicherheitslücke entdeckt. Die Schwachstelle, CVE-2025-55182, betrifft neben React selbst auch andere Javascript-Frameworks, welche die React Server-Komponente nutzen, insbesondere Next.js.

Hintergrund der Lücke ist eine unsichere Deserialisierung durch Clients verschickter RSC-Payloads, deren Struktur durch den Server nicht korrekt validiert wird. Durch einen speziell präparierten HTTP-Request kann auf diesem Weg eine entfernte Ausführung von Code erreicht werden. Laut Sicherheitsexpert:innen liegt die Erfolgsrate bei der versuchten Ausnutzung der Schwachstelle bei nahezu 100%.

Da die Lücke bei typischen bzw. Standard-Deployments auftritt sind ungewöhnlich viele Anwendungen betroffen. Laut dem auf Cloud-Sicherheit spezialisierten Dienstleister Wiz sind weltweit etwa 39% aller Cloud-Umgebungen von dem Problem betroffen.

Auch wenn bisher keine Ausnutzung durch Bedrohungsakteure bekannt ist sind Systemadministrator:innen und Entwickler:innen dringend angehalten die zur Verfügung stehenden Sicherheitsaktualisierungen einzuspielen. Für alle Deployments, die RSC nutzen (wie beispielsweise Next.js oder Plugins wie Vite/Parcel) sollte geprüft werden ob bereits ein Update zur Verfügung steht und dieses ebenfalls schnellstmöglich zu applizieren.