In der React-Ökosystem wurde mit CVE-2025-55182 eine kritische Schwachstelle entdeckt, die unter dem inoffiziellen Namen React2Shell bekannt ist. Die Lücke erreicht eine Bewertung von 10,0 auf der CVSS-Skala und ermöglicht Remote Code Execution (RCE) ohne Authentifizierung auf dem Server – ein Szenario mit systemischem Risiko für moderne Webanwendungen.
Was ist React2Shell und wen betrifft die Sicherheitslücke?
React ist eine weit verbreitete Open-Source-Bibliothek für Benutzeroberflächen, die in Millionen von Webanwendungen steckt. Der Kern-npm-Paket react wird rund 55,8 Millionen Mal pro Woche heruntergeladen. Frameworks wie Next.js, das auf React aufbaut, verzeichnen ähnliche Reichweiten mit etwa 16,7 Millionen wöchentlichen Downloads. Eine Schwachstelle im Server-Stack dieser Komponenten wirkt sich daher unmittelbar auf einen großen Teil des Webs aus.
React2Shell betrifft die Verarbeitung von Daten über React Server Function Endpoints im Kontext von React Server Components (RSC). Angreifer können durch einen speziell präparierten HTTP-Request an einen von außen erreichbaren Endpoint erreichen, dass der Server willkürlichen JavaScript-Code ausführt.
Besonders kritisch: Es werden weder Zugangsdaten noch erhöhte Berechtigungen benötigt. Reiner Netzwerkzugang zu einem verwundbaren Dienst genügt, was die Schwachstelle attraktiv für automatisierte Massenscans und breit angelegte Angriffe macht.
Technische Analyse: Unsichere Deserialisierung im React-Server
Fachlich handelt es sich bei React2Shell um einen Fall von logisch unsicherer Deserialisierung. Der React-Server validiert die Struktur des eingehenden RSC-Datenstroms nicht ausreichend. Wird das Format manipuliert, „vertraut“ die Serverlogik den gelieferten Daten und interpretiert Teile des Payloads als legitimen JavaScript-Code, der anschließend serverseitig ausgeführt wird.
Relevanter Aspekt für die Praxis: Die Schwachstelle ist in Standardkonfigurationen ausnutzbar. Es sind keine exotischen Einstellungen oder experimentellen Flags erforderlich – typische „Out-of-the-box“-Deployments mit aktivierten React Server Components sind potenziell gefährdet.
Betroffene React-Pakete und gepatchte Versionen
Laut den React-Entwicklern sind insbesondere folgende npm-Pakete von CVE-2025-55182 betroffen:
Verwundbare Versionen:
react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack in den Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0.
Gepatchte Versionen:
Die Lücke wurde in 19.0.1, 19.1.2 und 19.2.1 geschlossen. Ein Update auf eine dieser Versionen ist für alle Umgebungen mit React Server Components ein Mindeststandard.
Next.js, weitere RSC-Implementierungen und CVE-2025-66478
Auch Next.js, eines der wichtigsten React-basierten Frameworks, ist unmittelbar betroffen. Ein separat beantragter CVE-Eintrag (CVE-2025-66478) wurde von NIST als Duplikat von CVE-2025-55182 eingestuft, da es sich um denselben Root Cause handelt.
Verwundbare Next.js-Releases:
– Canary-Releases ab 14.3.0-canary.77
– alle Releases der Linien 15.x und 16.x bis zur jeweiligen gepatchten Version.
Gepatchte Next.js-Versionen: 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 und 15.0.5.
Sicherheitsforscher warnen zudem, dass auch andere Server-Implementierungen von React betroffen sein können, darunter Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK und Waku. Wichtig ist: Eine Anwendung kann angreifbar bleiben, selbst wenn sie keine expliziten React Server Function Endpoints nutzt, aber RSC-Unterstützung aktiviert ist.
Auswirkungen auf Cloud-Umgebungen und PoC-Exploits
Analysen des Sicherheitsanbieters Wiz zufolge enthalten rund 39 % aller untersuchten Cloud-Umgebungen Instanzen, die CVE-2025-55182 oder die Duplikats-CVE-2025-66478 betreffen. Insgesamt wurden bereits mehr als 968.000 Server mit React-, Next.js- oder vergleichbaren Stacks identifiziert.
Weniger als 24 Stunden nach der öffentlichen Offenlegung tauchten erste Proof-of-Concept-Exploits auf und wurden in gängige Sicherheitsscanner integriert. Parallel kursieren jedoch gefälschte PoCs, die Funktionen wie vm#runInThisContext, child_process#exec oder fs#writeFile verwenden. Diese Demo-Exploits spiegeln den realen Angriffsvektor nicht korrekt wider und funktionieren etwa in typischen Next.js-Umgebungen nicht, weil die verwendeten Funktionen dort gar nicht verfügbar sind.
Reaktion von Anbietern und empfohlene Schutzmaßnahmen
Große Cloud- und CDN-Anbieter haben erste Schutzmaßnahmen implementiert. Cloudflare hat WAF-Signaturen ausgerollt, die verdächtigen RSC-Traffic erkennen sollen. Ähnliche Schritte wurden von AWS, Akamai, Fastly und Google Cloud gemeldet. F5 analysiert derzeit mögliche Auswirkungen auf eigene Produkte.
Bis Patches vollständig eingespielt sind, empfehlen Sicherheitsteams unter anderem:
– den Einsatz angepasster WAF-Regeln zur Filterung verdächtiger RSC-Anfragen;
– Monitoring des HTTP-Traffics zu Server Function Endpoints auf Anomalien;
– wo möglich die temporäre Einschränkung des Netzwerzzugriffs auf betroffene Dienste;
– einen
Sicherheitsforscher betonen, dass sich die Schwachstelle auf die React-19-Linie und vergleichsweise neue Server-Funktionalitäten konzentriert. Damit ist das tatsächliche Opferpotenzial geringer als bei einem Bug, der alle React-Generationen betreffen würde – dennoch sprechen Schätzungen von zehntausenden verwundbaren Websites allein in einzelnen Ländern.
Organisationen, die React, Next.js oder andere RSC-kompatible Stacks einsetzen, sollten unverzüglich auf die gepatchten Versionen aktualisieren, WAF- und Monitoring-Regeln anpassen und ihre Secure-Development-Praktiken insbesondere im Umgang mit serverseitiger Deserialisierung schärfen. Je schneller Patches und kompensierende Kontrollen umgesetzt werden, desto geringer ist die Wahrscheinlichkeit, dass automatisierte Angriffe auf CVE-2025-55182 (React2Shell) erfolgreich sind.
