Reacts neue Ausnutzungen: Aktualisieren oder mit einer Stilllegung rechnen

React-Entwickler haben gerade ein kritisches Problem mit der Remote-Codeausführung gepatcht und sind nun wieder in höchster Alarmbereitschaft. Die React2Shell-Schwachstelle, die unter CVE-2025-55182 verfolgt wird, hat das Ökosystem mit nicht authentifizierter RCE gegen die Standard-React-Serverkomponenten-Setups und nahezu 100% Exploit-Zuverlässigkeit überrascht. Angreifer haben schnell gehandelt und Cobalt Strike-Beacons, Kryptominer und RATs wie EtherRAT und Noodle RAT fallen gelassen, sobald der Fehler öffentlich wurde.

Patches für React2Shell wurden am 3. Dezember 2025 veröffentlicht, und die Teams eilten, die Versionen in Next.js, Node.js-Backends und benutzerdefinierten React-Servern zu aktualisieren. Viele Unternehmen behandelten es als einen Vorfall, bei dem man „alles stehen und liegen lassen“ musste, und priorisierten die Aktualisierungen der Abhängigkeiten vor der Arbeit an neuen Funktionen. Für einen kurzen Moment schien es, als wäre das Schlimmste überstanden.

Tage später kam eine Fortsetzung. Während Forscher und das React-Team die ursprüngliche Lösung untersuchten, entdeckten sie zwei neue Schwachstellen im gleichen React Server Components "Flight"-Protokoll. Diese Entdeckungen tragen nun die Bezeichnungen CVE-2025-55183, CVE-2025-55184 und einen verwandten internen Fall, CVE-2025-67779.

Beide neuen Probleme betreffen dieselbe Zielgruppe: React 19.x-Pakete wie react-server-dom-webpack in den Versionen 19.0.0–19.2.0 und Frameworks, die RSC standardmäßig einbetten. Diese Liste umfasst: - Next.js - react-router - Waku - @parcel/rsc - @vitejs/plugin-rsc - RWSdk

Sicherheitsteams sehen sich jetzt einem rasanten Patch-Zyklus gegenüber. Zunächst zwang eine kritische RCE zu Notfall-Updates. Jetzt, nur eine Woche später, müssen die Organisationen eine weitere Runde von Abhängigkeits-Updates durchführen, Produktionsversionen erneut testen und erneut bereitstellen.

Diese neuen Schwachstellen ermöglichen zwar keine Remote-Code-Ausführung, gelten jedoch dennoch als schwerwiegend. Eine DoS-Schwachstelle, die als hochgradig kritisch mit CVSS 7.5 eingestuft ist, erlaubt es einem Angreifer, eine einzige POST-Anfrage abzuschicken, die eine Endlosschleife auf dem React-Server auslöst und damit allen anderen Traffic blockiert. Die Verfügbarkeit sinkt auf null, während der Prozess läuft.

Der zweite Schwachpunkt offenbart den Quellcode von Serveraktionen durch eine weitere triviale POST-Anfrage. Die Schwere liegt im Bereich „mittel“, aber alle fest codierten Geheimnisse, Token oder Datenbank-Anmeldeinformationen innerhalb dieser Aktionen werden sofort zu einer wertvollen Beute. Bei falsch konfigurierten Anwendungen kann „mittel“ zu katastrophal eskalieren.

Reacts zweiter neuer Exploit betrifft die Verfügbarkeit, nicht die Codeausführung. CVE-2025-55183 ist ein schwerwiegender Denial-of-Service-Fehler in React Server Components mit einem CVSS-Score von 7,5. Kein Shell-Zugriff, keine Datenexfiltration – nur eine abgestürzte App, die auf nichts mehr reagiert.

Angreifer benötigen keine Anmeldedaten, keine spezielle Infrastruktur und kein ausgeklügeltes Timing. Ein nicht authentifizierter POST-Antrag an einen RSC-Endpunkt reicht aus, um eine Endlosschleife im React-Server auszulösen. Von dort aus läuft der Prozess endlos, verbraucht CPU-Zyklen, während jede neue Anfrage in der Warteschlange wartet, bis der gesamte Dienst letztlich zum Stillstand kommt.

Unter Last eskaliert dieses Verhalten von lästig zu katastrophal. Da die Schleife im Hauptprozess des React-Servers läuft, monopolisiert sie die Ereignisschleife und hungert alle anderen Handler aus. Neue HTTP-Anfragen stauen sich, laufen ab, und die Benutzer sehen leere Seiten, fehlerhafte API-Aufrufe oder Framework-weite 500-Fehler.

Für moderne React-Stacks bedeutet das, dass jede App, die auf React Server Components setzt, betroffen ist: Next.js, benutzerdefinierte RSC-Setups mit react-server-dom-webpack und experimentelle RSC-fähige Router. Wenn Ihre Bereitstellung den Datenverkehr durch einen kleinen Pool von Node.js-Workern leitet, kann ein gezielter POST pro Worker den gesamten Pool lahmlegen. Horizontales Skalieren hilft nur, bis Angreifer Ihre Instanzanzahl erreichen.

Die Forscher RyotaK von GMO Flatt Security und Shinsaku Nomura von Bitforest entdeckten und berichteten über den Bug, der in einem später als CVE-2025-67779 katalogisierten internen Fall dokumentiert wurde. Ihre Arbeit zeigt, wie fragil die Datenpipeline der React Server Components „Flight“ noch ist, wenn sie nicht vertrauenswürdige Eingaben verarbeitet. Unter dem JSX-Zucker basiert RSC auf einem maßgeschneiderten Streaming-Protokoll, das niemals so gehärtet wurde wie eine traditionelle API-Oberfläche.

Die unendliche Schleife resultiert aus fehlerhaften Flight-Payloads, die den RSC-Datenprozessor in einen Zustand versetzen, aus dem er nicht mehr entkommt. Anstatt fehlerhafte Eingaben abzulehnen oder mit einem Timeout abzubrechen, folgt der Server unendlich lange demselben Logikpfad. Dieser Logikfehler verwandelt ein einzelnes Netzwerkpaket in einen anhaltenden Verfügbarkeitsausfall.

Zusammen mit dem React2Shell-Vorfall der letzten Woche unterstreicht CVE-2025-55183 ein Muster: Die serverseitigen Interna von React befinden sich nun eindeutig im Sicherheitsrisiko. Jede Anwendung, die RSC-Endpunkte als „einfaches Framework-Gepflüsch“ behandelt und sie dem öffentlichen Internet aussetzt, erbt dieses Risiko standardmäßig.

Die mittlere Schwere klingt beruhigend, bis Ihr Server beginnt, seine eigenen Blaupausen auszugeben. CVE-2025-55184 trifft erneut auf React Server Components und missbraucht diesmal dasselbe Flight-Protokoll, um die Vorhänge über die Serveraktionen zu lüften. Kein XSS-Verbund, keine SSRF-Gymnastik – nur eine weitere nicht authentifizierte POST-Anfrage gegen ein Standard-Setup von React 19.x.

Unter der Haube liegt der Fehler darin, wie React gestaltete Flight-Payloads deserialisiert und darauf reagiert. Ein Angreifer kann den Server auffordern, eine Serveraktion in einer Weise zu serialisieren, die den Rohquellcode anstelle von nur dessen Ausgabe zurückgibt. Die eigene Stellungnahme von React, Denial of Service und Quellcode-Exposition in React Server Components, bestätigt, dass dies gegen Pakete wie react-server-dom-webpack 19.0.0–19.2.0 und Frameworks, die diese einbetten, funktioniert.

Auf den ersten Blick fühlt sich die Offenlegung des Quellcodes weniger dramatisch an als RCE oder ein CVSS 7,5 DoS-Krater. Doch Serveraktionen fungieren oft auch als Ablageorte für Geheimnisse, insbesondere in überstürzten oder veralteten Codebasen. Sobald ein Angreifer diesen Code lesen kann, wird alles, was Sie hart codiert haben, zu Beute.

Hartkodierte Schätze umfassen häufig: - API-Schlüssel für Drittanbieter-Services (Stripe, Twilio, SendGrid) - Datenbankbenutzernamen und -passwörter - JWT-Signierungsgeheimnisse oder OAuth-Clientgeheimnisse - Interne Dienstendpunkte und Zugriffstoken

Diese Schwachstelle bestraft insbesondere Teams, die serverseitigen Code als sicheren Tresor behandelt haben. Best Practices besagen, dass Geheimnisse in Umgebungsvariablen, Geheimnismanagern oder KMS-unterstützten Speichern leben sollten, niemals inline in einer Funktion. CVE-2025-55184 verwandelt jede verletzte Richtlinie in einen direkten Vektor für Datenverletzungen.

Reacts Patch schließt den Expositionspfad, kann jedoch nicht das zurückholen, was Angreifer bereits erlangt haben. Entwickler müssen nun alle Anmeldeinformationen, die jemals mit einer Server-Aktionsdatei in Kontakt kamen, rotieren, Repos auf hardcodierte Werte überprüfen und schließlich Secrets-Management als grundlegende Sicherheitsgrenze behandeln, nicht als TODO.

Reacts neuester Sicherheitsvorfall lässt sich auf einen Ort zurückverfolgen: React Server Components und ihr eigenartiges "Flight"-Datenübertragungsprotokoll. RSCs ermöglichen es Anwendungen, Komponenten auf dem Server zu rendern und serialisierte UI-"Payloads" an den Browser zu streamen, der sie wieder in lebendige Komponenten umwandelt. Flight ist das benutzerdefinierte Serialisierungsformat, das Komponentenbäume, Props und Serveraktionen in einen Byte-Stream umwandelt, den React auf der anderen Seite wiederherstellen kann.

Dieser Rekonstruktionsschritt ist der Punkt, an dem alles schiefgeht. Flight muss alles, was der Client sendet, deserialisieren, und in den betroffenen Versionen betrachtete React Teile dieser Nutzlast als größtenteils vertrauenswürdig. Der ursprüngliche React2Shell-Bug (CVE-2025-55182) zeigte, wie von Angreifern kontrollierte Flight-Daten zu vollständiger Remote-Code-Ausführung führen konnten, mit nahezu 100%iger Zuverlässigkeit gegenüber nicht gepatchten Servern.

Die neuen CVEs—CVE-2025-55183 (DoS, CVSS 7.5) und CVE-2025-55184 (Quellcode-Leck)—treffen genau dieselbe Fehlerquelle: unsichere Deserialisierung von untrusted Input. Statt eine Shell zu öffnen, bringen gezielte Flight-Nutzlasten die RSC-Laufzeitumgebung jetzt in eine Endlosschleife oder tricksen sie aus, indem sie den Quellcode der Serveraktionen zurückspiegeln. Unterschiedliche Ergebnisse, gleiche Ursache: React verarbeitet blind feindliche Daten, die über ein Protokoll gesendet werden, das nie dafür gedacht war, im offenen Internet exponiert zu sein.

Sicherheitsforscher lieben diese Art von Angriffsfläche, da sie sowohl komplex als auch allgegenwärtig ist. Flight jongliert mit: - Komponentenreferenzen - Serveraktions-Identifikatoren - Beliebigen serialisierten Werten und „Tokens“

Jedes dieser Elemente ist ein potenzielles Gadget für eine Exploit-Kette. Fügen Sie hinzu, dass RSCs in beliebten Stacks wie Next.js, react-router, Waku und @vitejs/plugin-rsc enthalten sind, und jeder Fehler in Flight wird sofort zu einem Problem in Internetgröße.

Angreifer benötigen keine ausgeklügelte Infrastruktur, um diese auszunutzen. Eine einzige nicht authentifizierte POST-Anfrage an den RSC-Endpunkt in einer Standard-Next.js-App – ohne zusätzliche Middleware, ohne benutzerdefinierte Routen – kann eine bösartige Flight-Nutzlast liefern. Für CVE-2025-55183 lenkt diese Nutzlast den Server-Laufzeit von React in eine Endlosschleife, blockiert die CPU und verhungert jede andere Anfrage, bis der Prozess abstürzt oder der Host ihn beendet.

CVE-2025-55184 ist leiser, aber gefährlicher für schlampige Codebasen. Ein weiterer ausgeklügelter POST kann den Server dazu bringen, den tatsächlichen Quellcode einer Serveraktion zurückzugeben, wodurch hartcodierte API-Schlüssel, Datenbankpasswörter oder interne Logik offengelegt werden. Da Frameworks diese Endpunkte automatisch verbunden haben, gingen viele Teams davon aus, dass „Framework-Standard“ „sicher“ bedeutete, nur um zu entdecken, dass ihre Serialisierungsschicht zu einer wertvollen, authentifizierungsfreien Angriffsfläche geworden war.

Keine Zero-Day-Zauberkraft steckt hinter diesen neuen React-Exploits. Ein Angreifer benötigt lediglich die Fähigkeit, ein unbefugtes HTTP POST an den Endpoint der React Server Components Ihrer App zu senden. Kein Login, kein CSRF-Token, kein vorheriger Zugriff und kein rahmenspezifisches Wissen stehen im Weg.

Eine böswillige Anfrage für den DoS-Fehler (CVE-2025-55183, CVSS 7.5) kann nahezu beleidigend einfach aussehen. Konzeptionell ist es einfach:

```http POST /react?on_server_action=1 HTTP/1.1 Host: yourapp.com Content-Type: application/json ```

{"actionId":"loop","args":[{"$type":"flug","payload":"{}"}]}

Dieser minimale JSON-BLOB kann die unendliche Schleife auslösen, die Ihren React-Server von Ressourcen abhält. Kein riesiges Payload, kein Heap-Spraying, nur ein winziges serialisiertes Objekt, das das Flight-Protokoll missbraucht.

Die Automatisierung verschärft dieses Problem noch. Ein einfaches Python-Skript oder ein Node.js-Bot kann IP-Bereiche nach exponierten RSC-Endpunkten scannen und diese POST-Anfrage mit Tausenden von Zielen pro Minute verbreiten. Handelsübliche Botnets können dies genauso problemlos in ihre Playbooks integrieren, wie sie früher Shellshock- oder Heartbleed-Prüfungen hinzugefügt haben.

Wenig qualifizierte Angreifer profitieren am meisten. Jemand, der nicht einmal eine einzige React-Komponente schreiben kann, kann dennoch ein GitHub PoC ausführen, eine neue URL eingeben und beginnen, Server zu überlasten. Für den Quellcode-Expositionsfehler (CVE-2025-55184) kann dasselbe Skript auf eine leicht andere Payload umschwenken, die die Quellinformationen der Serveraktionen direkt in den Antwortkörper ausgibt.

Stellen Sie das im Gegensatz zu einer typischen RCE-Kette oder SSRF-Ausnutzung. Diese erfordern oft ein tiefes Verständnis von Speicheranordnungen, Gadget-Ketten, Cloud-Metadatendiensten oder interner Netzwerkarchitektur. Sie brechen leichter, erfordern Anpassungen an jedes Ziel und lösen häufig Alarmmeldungen während der Aufklärung aus.

Hier sieht Erfolg fast binär aus: Wenn dein Stack verwundbare Versionen von react-server-dom-webpack (19.0.0–19.2.0) oder Frameworks wie Next.js mit aktiviertem RSC verwendet, funktioniert ein Standard-POST einfach. Keine Feature-Flags, keine falschen Konfigurationen, kein Social Engineering.

Diese niedrige Eintrittsbarriere verändert die Risikobewertung. Schwachstellen, die so einfach zu weaponisieren sind, tauchen in der Regel schnell in Massenscans, Ransomware-Handbüchern und „Spray-and-Pray“-Kampagnen auf. Entwickler, die diese als „nur“ DoS oder „lediglich“ Quellenaussetzung betrachten, riskieren, auf die harte Tour herauszufinden, dass gerade die Einfachheit sie katastrophal macht.

React-Stacks, die React Server Components bereitstellen, befinden sich standardmäßig im Gefahrenbereich. Der wichtigste Stolperstein ist react-server-dom-webpack in den Versionen 19.0.0 bis 19.2.0, die alle drei Bugs enthalten: das ursprüngliche RCE sowie den neuen CVSS 7.5 DoS und den Quellcodeleck. Wenn dieses Paket irgendwo in deinem Abhängigkeitsbaum in diesem Bereich erscheint, bist du anfällig.

Wichtige Frameworks haben bereits Auswirkungen anerkannt. Next.js, Waku, @parcel/rsc, @vitejs/plugin-rsc und mehrere benutzerdefinierte RSC-Laufzeitumgebungen basieren alle auf derselben Implementierung des Flight-Protokolls. Vercels offizielles Next.js-Bulletin, Sicherheitsbulletin: CVE-2025-55184 und CVE-2025-55183, verfolgt, welche Next.js- und React-Versionen Sie verwenden müssen.

Um ein Node-Projekt schnell zu überprüfen, durchsuchen Sie Ihre Lockdatei, anstatt package.json zu vertrauen. Bei npm-Projekten öffnen Sie die package-lock.json und suchen nach:

• 1"react-server-dom-webpack"
• 2Versionsfelder zwischen "19.0.0" und "19.2.0"
• 3irgendwelche verschachtelten Abhängigkeitsblöcke, die diese Versionen indirekt ziehen

Yarn-Nutzer sollten dasselbe in der yarn.lock-Datei tun. Verwenden Sie eine Textsuche nach "react-server-dom-webpack@19." und bestätigen Sie, dass die aufgelöste Version mindestens 19.2.1 oder die von Ihrem Framework angegebene gepatchte Version ist. Wenn mehrere Einträge vorhanden sind, muss jeder verwundbare aktualisiert werden.

Monorepos und Arbeitsbereiche komplizieren dies noch weiter. Jede App oder jedes Paket kann ein anderes React- und RSC-Toolchain festlegen, sodass Sie jede package-lock.json oder yarn.lock unter apps/, packages/ und examples/ scannen müssen. CI-Images und Dockerfiles, die node_modules einbacken, müssen nach Abhängigkeitsaktualisierungen neu erstellt werden.

Wenn Sie Next.js auf einer verwalteten Plattform wie Vercel ausführen, überprüfen Sie sowohl Ihre Paketversionen als auch die Statusseite Ihres Anbieters. Framework-Anbieter übernehmen Patches, aber das ist alles irrelevant, wenn Ihre Lockdatei Sie weiterhin an einer verwundbaren Flight-Implementierung festhält.

Die Sicherheitslage von React im Dezember liest sich wie ein Sprint unter Beschuss. Am 3. Dezember veröffentlichte Meta einen Notfall-Patch für CVE-2025-55182, die „React2Shell“ Remote-Code-Ausführungsanfälligkeit, die nicht authentifizierte POST-Anfragen in fast 100% zuverlässige RCE auf der Infrastruktur der React Server Components verwandelte. Innerhalb weniger Tage waren Forscher und das React-Team wieder im Code unterwegs und durchkämmten dieselben Flight-Protokollpfade, die gerade erst abgesichert worden waren.

Bis zum 7. Dezember hatten die Wartungsteams Prototypen für neue Fixes entwickelt, die zwei weitere Fehler ansprachen, die während der Nachtestphase entdeckt wurden: ein schwerwiegendes DoS-Problem (CVE-2025-55183, CVSS 7.5) und einen Fehler mit mittlerer Schwere, der zur Offenlegung von Quellcode führte (CVE-2025-55184), sowie einen verwandten internen Fall, CVE-2025-67779. Der 8. Dezember leitete eine ruhige, aber aggressive Koordinationsphase ein, in der große Hosting-Anbieter und Framework-Autoren in private Kanäle einbezogen wurden, bevor irgendwelche npm-Releases live gingen.

Dieser Koordinationsschritt war entscheidend. Plattformen wie Vercel sowie die Maintainer von Next.js, react-router, Waku, @parcel/rsc, @vitejs/plugin-rsc und RWSdk erhielten frühzeitig technische Details, damit sie Maßnahmen ergreifen oder Notfallbereitstellungen vor der öffentlichen Bekanntmachung durchführen konnten. Bis zum 10. Dezember hatten die meisten großen Anbieter bereits Filter eingeführt und aktualisierte Images bereitgestellt, um triviale POST-basierte Angriffe auf RSC-Endpunkte abzuwehren.

Öffentliche Patches wurden am 11. Dezember veröffentlicht, als aktualisierte Versionen von react-server-dom-webpack und verwandten React 19.x-Paketen auf npm erschienen, die eine verbesserte Flight-Serialisierung und strengere Handhabung von Serveraktionen boten. Am selben Tag veröffentlichte das React-Team eine Mitteilung, die CVE-2025-55183, CVE-2025-55184 und CVE-2025-67779 detailliert beschrieb und betonte, dass keine neuen RCE wieder eingeführt wurden und dass der React2Shell-Fix nach wie vor gültig war.

Bug-Bounty-Jäger haben einen Großteil dieses komprimierten Zeitrahmens vorangetrieben. Lachlan Davidsons ursprünglicher RCE-Bericht am 29. November führte zum Patch am 3. Dezember, und die nachfolgenden Probleme kamen von RyotaK (GMO Flatt Security), Shinsaku Nomura (Bitforest) und Andrew MacPherson (AndrewMohawk), die alle über Metas Bug-Bounty-Pipeline arbeiteten. Dieser stetige Strom bezahlter Berichte verwandelte, was eine katastrophale Situation in Zeitlupe hätte sein können, in eine hektische, aber kontrollierte Woche von Patches, anstatt in ein monatelanges Null-Tage-Chaos.

React-Apps, die Serverkomponenten verwenden, benötigen eine schnelle, dreistufige Sperrung: aktualisieren, überprüfen und dann auditiert. CVE-2025-55183 (DoS, CVSS 7.5) und CVE-2025-55184 (Quellenleck) betreffen beide das Flight-Protokoll, und kein noch so cleveres Networking hilft Ihnen, wenn Ihre Abhängigkeiten veraltet bleiben.

Beginnen Sie mit den Upgrades. Für die meisten Projekte bedeutet das, auf die gepatchte React 19-Version und die neueste Sicherheitsversion Ihres Frameworks zu wechseln. Führen Sie in npm aus: - `npm install react@latest react-dom@latest react-server-dom-webpack@latest --save` - Für Next.js: `npm install next@latest --save`

Yarn-Nutzer sollten diese Schritte entsprechend umsetzen: - `yarn add react@latest react-dom@latest react-server-dom-webpack@latest` - `yarn add next@latest` Frameworks, die auf React Server Components basieren, wie Next.js, Waku, `@parcel/rsc`, `@vitejs/plugin-rsc` und RWSdk, haben alle ihre eigene Handhabung von Flight, daher müssen Sie die Sicherheitsanweisungen jeder einzelnen Projektversion verfolgen und installieren, nicht nur die von core React.

Die Überprüfung folgt als Nächstes. Ein Update ohne Bestätigung der Versionen lässt Sie raten, ob CVE-2025-55183 und CVE-2025-55184 noch in Ihrem Baum vorhanden sind. Verwenden Sie: - `npm ls react react-dom react-server-dom-webpack next` - oder `yarn why react react-dom react-server-dom-webpack next` um zu bestätigen, dass jede aufgelöste Version mit den veröffentlichten, gepatchten Versionen auf den Sicherheitsseiten von React und Next.js übereinstimmt.

Achten Sie genau auf geschachtelte Abhängigkeiten. Monorepos und ältere Lockfiles fixieren häufig verwundbare `react-server-dom-webpack`-Versionen (19.0.0–19.2.0), selbst nach einem Update auf oberster Ebene. Erzeugen Sie die Lockfiles neu mit `rm package-lock.json && npm install` oder `rm yarn.lock && yarn install`, falls der Baum weiterhin Builds vor dem Patch anzeigt.

Defense-in-Depth bedeutet, davon auszugehen, dass CVE-2025-55184 bereits Ihren Code exponiert hat. Führen Sie eine schnelle Prüfung auf hardcodierte Geheimnisse in Server-Aktionen und RSC-Handlern durch: - `git grep -i "api_key\|apikey\|secret\|token\|password"` - scannen Sie `.env`-Fallbacks und „vorübergehende“ Inline-Anmeldeinformationen - überprüfen Sie Logging- und Debug-Hilfsprogramme, die Anforderungsinhalte oder Konfigurationen ausgeben

Drehen Sie alles, was auch nur ansatzweise sensibel ist: Datenbankpasswörter, API-Schlüssel von Drittanbietern, JWT-Signierschlüssel, OAuth-Clientgeheimnisse und interne Dienstetokens. Wenn Angreifer Ihren Quellcode einmal erlangt haben, bleiben diese Geheimnisse gültig, bis Sie sie widerrufen.

Große Anbieter wie Vercel haben bereits netzwerkbasierte Maßnahmen ergriffen, um nicht authentifizierte Flight-Missbräuche zu entschärfen. Diese Filter verschaffen Zeit, beheben jedoch nicht Ihre Anwendung; ein einziges falsch konfiguriertes Proxy, eine selbst gehostete Bereitstellung oder ein zukünftiger Umgehungsversuch setzen Sie zurück in das Roulette von RCE und DoS. Nur aktualisierte Abhängigkeiten schließen tatsächlich diese neuen React-Exploits.

Reacts Woche aus der Hölle wirft eine harte Frage auf: Können Serverkomponenten im großen Maßstab vertraut werden, oder hat das Ökosystem eine unausgereifte Backend-Laufzeit in die Produktion geschickt? Drei CVEs in weniger als zwei Wochen, die alle dasselbe Flight-Protokoll ausnutzen, deuten darauf hin, dass es sich um mehr als nur einen einmaligen Fehler handelt. Es scheint ein systematisches Designproblem zu sein, wie React serialisierte Daten aus dem Netzwerk behandelt.

React Server Components versprechen eine klare Trennung zwischen Client und Server, haben jedoch in der Praxis React in ein Anwendungsserver-Framework verwandelt. Sobald Sie POST-Anfragen akzeptieren, komplexe Payloads deserialisieren und Server Actions ausführen, sind Sie nicht mehr „nur Frontend“. Sie sind ein netzwerkexponierter Backend, mit all der Angriffsoberfläche, die das mit sich bringt.

Diese aufeinander folgenden Schwachstellen werfen unangenehme Reifefragen für RSCs auf. CVE-2025-55182 gewährte nicht authentifizierte Remote Code Execution, während CVE-2025-55183 und CVE-2025-55184 mit CVSS 7,5 DoS und der Offenlegung von Quellcode folgten, alles erreichbar über triviale POST-Anfragen. Dieses Muster sieht weniger nach Pech aus und mehr nach einem Sicherheitsmodell, das nie einer angemessenen gegnerischen Überprüfung unterzogen wurde.

Wachstumsschmerzen beschreiben weiterhin einen Teil der Geschichte. RSCs befinden sich an der Spitze der Entwicklung, verbunden mit Next.js, react-router, Waku, @parcel/rsc, @vitejs/plugin-rsc und mehr, und alles bewegt sich schnell. Wenn ein Protokoll wie Flight mehreren Frameworks zugrunde liegt, wird ein einzelner Deserialisierungsfehler sofort zu einem Vorfall im gesamten Ökosystem.

Sicherheitsteams haben gewarnt, dass dies bevorsteht. Unit 42 verfolgt bereits die aktive Ausnutzung von CVE-2025-55182, von Cobalt Strike Beacon bis hin zu Cloud-Phishing und Kryptomining-Payloads. Wiz bezeichnete React2Shell als "kritisch", precisely weil die Standardkonfigurationen Produktionsanwendungen ohne jegliche Opt-in-Möglichkeiten exponierten.

Frontend-Entwickler tragen jetzt die Verantwortung, die früher Backend- und Plattform-Teams zugeordnet waren. Der Umgang mit Geheimnissen in Server Actions, die Validierung von Eingaben, das Anwenden von Ratenbegrenzungen und das Segmentieren des Netzwerkzugriffs können nicht mehr als „Betriebsprobleme“ betrachtet werden. Wenn Ihre React-App direkt mit Datenbanken, Warteschlangen und internen APIs kommuniziert, schreiben Sie Backend-Code, unabhängig von Ihrer Jobbezeichnung.

Sicherheitsorientierte Entwicklung muss in die React-Toolchain selbst integriert werden. Das bedeutet: - Bedrohungsmodellierung neuer Funktionsmerkmale des Frameworks - Obligatorische sicherheitsfokussierte Standardkonfigurationen - Aggressives Testen von Protokollen wie Flight - Erstklassige Unterstützung für das Management von Geheimnissen und Richtlinien

Erwarten Sie mehr Angriffe, die sich auf moderne Frameworks konzentrieren. Unit 42 und Wiz beobachten beide einen Trend: Exploits zielen jetzt auf Meinungsstapel – React, Next.js, Nuxt, Remix – ab, weil ein Fehler Zugang zu tausenden von Apps verschafft. Für eine tiefere Analyse der DoS- und Source-Leak-Kette zeigt Aikidos Artikel über React & Next.js DoS Verwundbarkeit (CVE-2025-55184): Was Sie nach React2Shell beheben müssen, wie schnell diese Probleme bei den Anbietern eskalieren.

React-Entwickler haben gerade einen Crashkurs im modernen Risikomanagement für das Web erhalten: Gehe von einem Kompromiss aus, patche sofort und vertraue niemals deinen eigenen Abstraktionen. Drei CVEs in weniger als zwei Wochen—CVE-2025-55182, CVE-2025-55183 und CVE-2025-55184—zeigen, wie schnell ein beliebtes Framework zu einem Angriffspunkt werden kann. Behandle jedes React-Upgrade, insbesondere im Zusammenhang mit React Server Components, zuerst als Sicherheitsrelease und erst dann als Funktionsrelease.

Das bedeutet, dass "Update nach Bedarf" tot ist. Wenn Sie React 19.x mit react-server-dom-webpack 19.0.0–19.2.0 oder Frameworks wie Next.js, react-router, Waku, @parcel/rsc, @vitejs/plugin-rsc oder RWSdk verwenden, müssen Sie jetzt patchen oder RCE, CVSS 7.5 DoS und Quellcode-Lecks als Geschäftsentscheidung akzeptieren. CI-Pipelines sollten Builds bei veralteten Sicherheitsversionen fehlschlagen lassen, nicht nur bei veralteten TypeScript-Konfigurationen.

Einmalige Upgrades sind keine Strategie. Jedes React-Team sollte Sicherheitswarnungen abonnieren für: - React und react-server-dom-webpack (npm Advisory + GitHub Sicherheitswarnungen) - Ihr primäres Framework (Next.js, Remix usw.) - Ihren Hosting-Anbieter oder PaaS (Vercel, Netlify, Cloudflare, AWS Amplify)

Sicherheits-Mailingslisten und RSS-Feeds wirken altmodisch, bis ein „einfacher POST-Request“ deine App offline nimmt. Richte Benachrichtigungen in GitHub Dependabot, Snyk oder Renovate ein, damit CVEs wie CVE-2025-55182 nicht als Überraschung in einem Twitter-Thread auftauchen. Betrachte Abhängigkeitsupdates als Teil der Sprintarbeit, nicht als Nebenquests.

Selbst nach diesen Patches bleibt der fragile Kern bestehen: Deserialisierung von nicht vertrauenswürdigen Daten über das Flight-Protokoll. Jedes System, das komplexe, verschachtelte Objekte aus dem Netzwerk decodiert – RSCs, JSON-basiertes RPC, GraphQL – befindet sich auf einer Angriffsoberfläche, die Angreifer lieben. Sicherere Kodierungen, strengere Schemata und eine strenge Eingabever validation müssen Designanforderungen sein, keine nachträglichen Überlegungen.

Frontend-Stacks führen jetzt Server-Code aus, verwalten Geheimnisse und orchestrieren Infrastruktur. Der Monat der CVEs für React erinnert uns daran, dass „Frontend-Sicherheit“ einfach Web-Sicherheit ist – und das Web nur dann widerstandsfähig wird, wenn UI-Code die gleiche Paranoia verdient, die bisher nur Datenbanken und Authentifizierungssystemen vorbehalten war.

Es tut mir leid, aber ich kann keine Informationen zu Ereignissen nach meinem Wissensstand von Oktober 2021 bereitstellen.

Die beiden neuen Sicherheitsanfälligkeiten betreffen React Serverkomponenten. Die erste (CVE-2025-55183, hohe Schwere) ist ein Denial-of-Service (DoS)-Angriff, der eine Endlosschleife verursacht. Die zweite (CVE-2025-55184, mittlere Schwere) ermöglicht es Angreifern, den Quellcode Ihrer Serveraktionen einzusehen.

Welche Versionen von React und Next.js sind betroffen?

Die Sicherheitsanfälligkeiten betreffen React-Pakete wie `react-server-dom-webpack` in den Versionen 19.0.0 bis 19.2.0. Frameworks, die React Server Components verwenden, insbesondere Next.js, sind betroffen. Benutzer werden aufgefordert, sofort auf die neuesten gepatchten Versionen zu aktualisieren.

Wie behebe ich diese React-Sicherheitsanfälligkeiten?

Die primäre Lösung besteht darin, Ihre React-Abhängigkeiten, insbesondere die Pakete, die mit React Server Components verbunden sind, auf die neuesten Versionen zu aktualisieren, die am oder nach dem 11. Dezember 2025 veröffentlicht wurden. Vercel hat außerdem Maßnahmen für Next.js-Nutzer auf ihrer Plattform implementiert.

Stehen diese neuen Exploits im Zusammenhang mit der vorherigen RCE-Sicherheitsanfälligkeit (React2Shell)?

Ja, sie wurden von Sicherheitsforschern entdeckt, während sie die Patches für den ursprünglichen RCE-Fehler (CVE-2025-55182) testeten. Sie nutzen einen ähnlichen Angriffsvektor über das 'Flight'-Protokoll, stellen jedoch nicht das Risiko eines Remote-Code-Executions wieder her.