Eine neu entdeckte Sicherheitslücke im React-Ökosystem – einer der am weitesten verbreiteten Technologien im Web – löst in der gesamten Technologiebranche dringende Warnungen aus.
Der Fehler – „React2Shell“ genannt – ermöglicht es Angreifern, mit nahezu perfekter Zuverlässigkeit eine nicht authentifizierte Remote-Codeausführung (RCE) auf anfälligen Servern zu erreichen, wodurch Millionen von Webanwendungen und Cloud-Workloads einem unmittelbaren Risiko ausgesetzt werden.
Eine „Perfect Ten“-Sicherheitslücke
Die Schwachstelle wird als CVE-2025-55182 (React) und CVE-2025-66478 (Next.js) verfolgt, beide mit CVSS 10.0 bewertet, was den maximalen Schweregrad anzeigt. Der Fehler betrifft die React Server Components (RSC) der Plattform – eine Funktion, die die Leistung durch serverseitiges Rendering verbessern soll.
Leider liegt der Fehler im RSC-Protokoll „Flight“, das verarbeitet, wie React Daten zwischen Browser und Server sendet und empfängt.
Eine böswillige Anfrage reicht aus
EntsprechendCloud-Sicherheitsunternehmen Wiz, ist die Ausnutzung von React2Shell erschreckend einfach. Angreifer müssen lediglich eine speziell gestaltete HTTP-Anfrage an den Zielserver senden, um RCE auszulösen, sodass sie ihre eigenen Befehle auf dem Computer eines anderen ausführen können.
Forscher warnen davor, dass die Ausnutzung der Schwachstelle erschreckend einfach ist, da keine Anmeldung, keine spezielle Einrichtung und keine Interaktion seitens des Ziels erforderlich ist. Der Angriff funktioniert remote über das Internet und erreicht laut internen Tests eine Erfolgsquote von nahezu 100 %, was ihn zu einer der schwerwiegendsten Schwachstellen macht, die jemals in der modernen Webtechnologie gefunden wurden.
Warum das wichtig ist
React, die Meta-gestützte JavaScript-Bibliothek, die Benutzeroberflächen im gesamten Internet unterstützt, ist in einen enormen Anteil moderner Anwendungen eingebettet. Wiz-Forscher fanden Folgendes heraus:
- 6 % aller Websites nutzen React
- 39 % der Cloud-Umgebungen enthalten anfällige React- oder Next.js-Installationen
- 44 % aller Cloud-Umgebungen verfügen über öffentlich zugängliche Next.js-Instanzen (unabhängig von der ausgeführten Version).
Kurz gesagt, ein großer Teil der modernen Web-Infrastruktur ist potenziell gefährdet. Große Cloud-Anbieter – darunter AWS, Cloudflare, Google Cloud und Fastly – haben sich beeilt, temporäre Firewall-Regeln einzuführen, aber alle betonen, dass es sich dabei nur um Notlösungen handelt. Die einzige dauerhafte Lösung besteht darin, React und die betroffenen Frameworks sofort zu aktualisieren.
Wer ist gefährdet?
Zu den anfälligen React-Paketen gehören:
- React-Server-Dom-Webpack
- React-Server-Dom-Paket
- React-Server-Dom-Turbopack
Betroffene Versionen: 19.0, 19.1.0, 19.1.1 und 19.2.0
Gepatchte Versionen sind jetzt verfügbar: 19.0.1, 19.1.2, 19.2.1
Next.js-Benutzer müssen außerdem auf gepatchte Versionen aktualisieren, darunter:
15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 und andere in der stabilen 14.x-Reihe.
Weitere wahrscheinlich betroffene Frameworks sind:
- React Router (RSC-Vorschau)
- RedwoodJS
- Vite RSC-Plugin
- Paket-RSC-Plugin
- Dein
Jedes Framework, das React Server-Komponenten bündelt oder implementiert, kann anfällig sein.
Was wird getan?
React-Entwickler haben bereits gepatchte Versionen mit gehärteter Validierung und sichererer Deserialisierung herausgebracht. Hosting-Anbieter – darunter Cloudflare, Google Cloud, AWS und Fastly – haben Notfallregeln für die Web Application Firewall aktiviert, um bekannte Exploit-Versuche zu blockieren.
Die Warnung ist jedoch klar: Temporäre Schutzmaßnahmen reichen nicht aus. Entwickler müssen sofort Patches durchführen.
Gepatchte React-Versionen:19.0.1, 19.1.2 und 19.2.1
Gepatchte Next.js-Versionen:15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 und 16.0.7
Kanarienvogel: 14.3.0-canary.88
Was Organisationen jetzt tun sollten
- Aktualisieren Sie React und Next.js sofort auf die gepatchten Versionen.
- Überprüfen Sie alle Frameworks oder Bundler – wie Redwood, Waku, Vite RSC, Parcel RSC – auf gepatchte Versionen.
- Wenden Sie WAF-Regeln vorübergehend an, sofern verfügbar.
- Suchen Sie nach anfälligen Bereitstellungen, insbesondere nach öffentlichen Next.js-Apps.
- Überprüfen Sie die Serverprotokolle auf verdächtige Flight-Nutzlastanfragen.
- Isolieren oder beschränken Sie den öffentlichen Zugriff auf Hochrisikoanwendungen, bis ein Patch installiert ist.
- Gehen Sie davon aus, dass Sie beim Ausführen moderner React-Anwendungen in der Produktion exponiert sind.
Ein Weckruf für das Web
Während sich die Branche darum bemüht, betroffene Systeme zu sichern, betonen Experten, dass Geschwindigkeit von entscheidender Bedeutung ist. Da die Ausnutzung nahezu keinen Aufwand erfordert und Patches inzwischen überall verfügbar sind, können Unternehmen, die schnell handeln, das Risiko eindämmen, bevor Angreifer die Schwachstelle in großem Umfang zu einer Waffe machen.
Mehr lesen:
Die Entdeckung der React2Shell-Schwachstelle unterstreicht, dass selbst die vertrauenswürdigsten Frameworks ständige Wachsamkeit erfordern – und in Momenten wie diesen bleibt das Patchen die einzige zuverlässige Möglichkeit, geschützt zu bleiben.