React2Shell - Angriffe gegen verwundbare Anwendungen auf von Basis React.JS und weiterer Frameworks

05. Dezember 2025

Beschreibung

Diese Woche wurden kritische Sicherheitslücken in den React Server Components veröffentlicht. Diese Schwachstellen ermöglichen unauthentifizierte Remote-Code Execution sofern Anwendungen die betroffenen Server Components einsetzen. Mittlerweile wird diese Sicherheitslücke aktiv ausgenutzt um verwundbare Installationen zu kompromittieren. Proof-of-Concept Exploits sind bereits öffentlich zugänglich.

CVE-Nummer(n): CVE-2025-55182

CVSS Base Score: 10.0

Auswirkungen

Ein:e nicht authentifizierte:r Angreifer:in kann über das Netzwerk speziell präparierte Anfragen an betroffene Installationen senden, die eine unsichere Objekt-Deserialisierung auslösen. Dies führt zur Ausführung von beliebigem Code mit auf dem betroffenen Server.

Betroffene Systeme

 Anwendungen die die Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 folgender Pakete einsetzen:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Diese Pakete werden zumindest auch in folgenden Frameworks ausgeliefert:

  • next,
  • react-router,
  • waku,
  • @parcel/rsc,
  • @vitejs/plugin-rsc
  • rwsdk

Gleichzeitig weisen die Entwickler:innen von React darauf hin, dass nur Anwendungen verwundbar sind, die auf einem Server laufen und mithilfe eines Frameworks mit React Server Components realisiert wurden. Ein pauschales Sicherheitsrisiko für alle React-Anwendungen ist nicht gegeben.

Abhilfe

React hat Softwareupdates veröffentlicht, welche die Sicherheitslücken beheben. Details zum Update von React sowie auch anderer betroffener Frameworks, welche die betroffenen Komponenten mitausliefern, finden sich im Advisory von React.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Sollten Sie Opfer eines Angriffes unter Ausnutzung dieser Lücke/n geworden sein bitten wir Sie uns zu informieren.

Informationsquelle(n):

Advisory React
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Blog-Artikel AWS:
https://aws.amazon.com/de/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/