Die Sicherheitsluecke React2Shell (CVE-2025-55182) in der React-Server-Oekosystem hat sich in kuerzester Zeit von einem theoretischen Risiko zu einem breit ausgenutzten Angriffspfad entwickelt. Bereits wenige Stunden nach der Offenlegung der technischen Details wurden gezielte Angriffe beobachtet, die laut Analysen weltweit mehr als 30 Organisationen direkt getroffen haben und potenziell ueber 77.000 exponierte Server gefaehrden.
React2Shell und CVE-2025-55182: Remote Code Execution in React Server Components
React2Shell bezeichnet eine Remote-Code-Execution (RCE)-Schwachstelle im Mechanismus der React Server Components (RSC). Die Luecke wurde mit dem maximalen Schweregrad CVSS 10.0 eingestuft. Angreifende koennen durch einen einzig speziell praepierten HTTP-Request ohne Authentifizierung und ohne erhoehte Privilegien beliebigen Code auf dem Server ausfuehren.
Ursache ist eine unsichere Deserialisierung von Daten auf der Serverseite. Wird die Schwachstelle erfolgreich ausgeloest, erhaelt der Angreifer in der Praxis oft unmittelbaren Zugriff auf die Umgebung des Node.js- oder Application-Servers.
Betroffen sind Standard-Deployments aktueller React-Releases 19.0, 19.1.0, 19.1.1 und 19.2.0 sowie Anwendungen auf Basis von Next.js, das React Server Components intensiv nutzt. Sicherheitsupdates stehen in den Versionen React 19.0.1, 19.1.2, 19.2.1 und in aktualisierten Next.js-Releases bereit. Forschende weisen zudem darauf hin, dass aehnliche Implementierungsfehler auch andere RSC-basierte Projekte wie Vite RSC Plugin, Parcel RSC Plugin, React Router RSC Preview, RedwoodSDK und Waku betreffen koennten.
Umfang der React2Shell-Sicherheitsluecke und fruehe Angriffswellen
Nach Daten des Shadowserver Foundation wurden im Internet 76.664 eindeutige IP-Adressen identifiziert, die fuer React2Shell anfällig sind; knapp 3.000 dieser Systeme befinden sich in Russland. Die Identifikation erfolgte ueber gezielte Testanfragen, deren Antwortstruktur Rueckschluesse auf eine verwundbare React-Server-Implementierung ermoeglichte.
Parallel bestaetigten Rapid7 und Elastic Security, dass funktionierende Proof-of-Concept-Exploits (PoC) oeffentlich veroeffentlicht wurden. Das Unternehmen GreyNoise registrierte daraufhin Exploit-Versuche aus 181 unterschiedlichen IP-Adressen. Ein grosser Teil dieser Aktivitaet ist automatisiert und geht vor allem von Infrastrukturen in den Niederlanden, China, den USA, Hongkong und weiteren Laendern aus.
Angriffsmuster: von PowerShell-Tests bis zu Cobalt Strike
Analysen zeigen ein wiederkehrendes Taktikmuster. Zunaechst pruefen Angreifer, ob Codeausfuehrung ueber React2Shell moeglich ist, beispielsweise mit simplen PowerShell-Kommandos wie powershell -c "40138*41979". Solche Befehle liefern einen klar vorhersagbaren numerischen Output und hinterlassen wenig auffaellige Spuren in Standard-Logs.
Nach erfolgreicher Verifikation folgen komplexere PowerShell-Befehle in Base64-Codierung, deren Payload direkt im Arbeitsspeicher ausgefuehrt wird, um Datei-Scans zu umgehen (fileless Malware). In dokumentierten Faellen wurden Skripte etwa von der IP 23[.]235[.]188[.]3 nachgeladen. Diese Payloads deaktivierten zunaechst AMSI (Antimalware Scan Interface) unter Windows, um Sicherheitskontrollen zu umgehen, und luden anschliessend weitere Stufen der Attacke nach.
Aus Einsendungen bei VirusTotal geht hervor, dass auf kompromittierten Systemen haeufig ein Cobalt Strike Beacon installiert wird. Cobalt Strike ist zwar ein legitimes Red-Teaming-Tool, wird aber seit Jahren von Cyberkriminellen und Advanced Persistent Threats (APT) zur dauerhaften Praesenz, Fernsteuerung kompromittierter Hosts und lateralen Bewegung eingesetzt.
APT-Gruppen, Cloud-Ziele und Diebstahl von AWS-Zugangsdaten
Der Sicherheitsdienst von Amazon AWS meldet, dass Exploitversuche gegen React2Shell bereits wenige Stunden nach der oeffentlichen Bekanntmachung einsetzten. Teile der Infrastruktur, von der aus die Angriffe orchestriert wurden, werden mit chinesischen APT-Gruppen wie Earth Lamia und Jackpot Panda in Verbindung gebracht.
Nach Einschaetzung von Palo Alto Networks sind bereits mehr als 30 Organisationen konkret betroffen. Auf den Zielsystemen fuehren Angreifer typische Aufklaerungskommandos wie whoami, id und das Auslesen von /etc/passwd aus, schreiben Testdateien und suchen gezielt nach AWS-Konfigurationen und Zugangsdaten. Mehrere Vorfaelle werden der „regierungsnahen“ Gruppe UNC5174 (CL-STA-1015) zugeschrieben, die unter anderem die Tools Snowlight (Dropper) und Vshell (Backdoor fuer Remote-Zugriff und Post-Exploitation) einsetzt.
CISA, Cloudflare und die systemische Bedeutung von React2Shell
Die US-amerikanische Cybersicherheitsbehoerde CISA hat CVE-2025-55182 in ihren Katalog Known Exploited Vulnerabilities (KEV) aufgenommen. Bundesbehoerden sind verpflichtet, die entsprechenden Patches bis spaetestens 26. Dezember 2025 zu installieren. Diese Einstufung bestaetigt, dass es sich nicht um ein theoretisches Problem, sondern um eine aktiv ausgenutzte Kernschwachstelle handelt.
Die Relevanz zeigt sich auch indirekt am Vorfall bei Cloudflare: Bei der Notfall-Aktualisierung von WAF-Regeln gegen React2Shell kam es zu einem Konfigurationsfehler, der temporaer etwa 28 % des global ueber Cloudflare laufenden HTTP-Traffics beeintraechtigte. Zwar handelte es sich nicht um eine Attacke, doch der Zwischenfall unterstreicht, wie stark globale Dienste auf schnelle, fehlerfreie Reaktionen auf Framework-Schwachstellen angewiesen sind.
Konkrete Sicherheitsmassnahmen fuer React-, Next.js- und RSC-Umgebungen
Organisationen, die React Server Components, Next.js oder verwandte RSC-Frameworks einsetzen, sollten umgehend handeln. Zentrale Schritte sind: Installation der bereitstehenden Sicherheitsupdates (React 19.0.1, 19.1.2, 19.2.1 und aktuelle Next.js-Versionen), eine Inventarisierung aller oeffentlich erreichbaren RSC-basierten Dienste sowie die Ueberpruefung, ob weitere Projekte wie Vite-, Parcel- oder React-Router-RSC-Plugins produktiv genutzt werden.
Parallel empfiehlt sich eine forensische Log-Analyse seit der Offenlegung der Schwachstelle, insbesondere hinsichtlich ungewoehnlicher HTTP-Requests, PowerShell-Aktivitaet, AMSI-Deaktivierungen und verdächtiger Verbindungen zu Command-and-Control-Infrastrukturen. Sicherheitsteams sollten gezielt nach Artefakten von Cobalt Strike, Vshell und Snowlight suchen und bestehende EDR-/SIEM-Regeln auf React2Shell-spezifische Indikatoren anpassen. In Cloud-Umgebungen ist eine Härtung und Ueberwachung von AWS-Zugangsdaten, IAM-Rollen und Konfigurationsdateien essenziell.
React2Shell fuehrt deutlich vor Augen, wie schnell eine Schwachstelle in einem weit verbreiteten Web-Framework zur globalen Angriffsflaeche werden kann. Wer moderne JavaScript-Stacks einsetzt, sollte Vulnerability-Management, regelmaessige Code-Reviews, Härtung von Build- und Deployment-Pipelines sowie kontinuierliche Angriffserkennung als festen Bestandteil der eigenen Sicherheitsarchitektur verankern – und React2Shell als Anlass nutzen, diese Massnahmen jetzt konsequent umzusetzen.
