ProTecIT
Kontakt

React2Shell: Was Sicherheitsverantwortliche jetzt wissen müssen

Mit der Veröffentlichung von React2Shell (CVE-2025-55182) am 3. Dezember 2025 wurde eine extrem kritische RCE-Lücke in React Server Components und Next.js bekannt. Dieser Artikel erklärt die Hintergründe, zeigt betroffene Versionen, nennt aktuelle Exploits und gibt konkrete Handlungsempfehlungen für Entwickler und Unternehmen.

3.12.2025 · 5 Min.

React2Shell – Kritische 10.0-RCE in React Server Components

Die jüngst bekannt gewordene Schwachstelle CVE-2025-55182, auch bekannt als React2Shell, betrifft React Server Components (RSC) und ermöglicht im schlimmsten Fall eine vollständige Remote Code Execution. Besonders kritisch: Viele moderne Frameworks wie Next.js verwenden RSC standardmäßig. Der Vorfall zeigt erneut, wie verwundbar komplexe Web-Supply-Chains sein können.

1. Was ist bei React2Shell passiert?

React Server Components erlauben es, serverseitige Logik mit clientseitigem Rendering zu kombinieren. Durch einen Fehler in der Art, wie die Server-DOM-Pakete Daten serialisieren und Endpunkte verarbeiten, konnten Angreifer speziell präparierte Requests einschleusen, die zu Remote Code Execution auf dem Server führen.

Betroffen sind alle Systeme, die verwundbare Versionen der React-Server-DOM-Pakete oder RSC-basierte Frameworks einsetzen.

2. Welche Pakete und Frameworks sind betroffen?

  • React-Server-DOM-Pakete: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack
  • Verwundbare Versionen: 19.0.0, 19.1.0, 19.1.1, 19.2.0
  • Gepatchte Versionen: ab 19.0.1 / 19.1.2 / 19.2.1
  • Frameworks mit RSC: insbesondere Next.js 15.x / 16.x sowie weitere RSC-basierte Frameworks
  • Indirekt betroffen: Bundler-Plugins, Routing-Frameworks und Tools, die RSC-Serverpfade übernehmen
  • Nicht betroffen: reine Client-Side-React-Apps ohne Server Components

In der Praxis sind vor allem Produktivsysteme gefährdet, die RSC-Endpunkte öffentlich verfügbar machen oder standardmäßige Server-Functions ohne zusätzliche Absicherung nutzen.

3. Wie ein Angriff abläuft

Der Angriff nutzt manipulierte RSC-Requests, die aufgrund unzureichender Validierung direkt in die Server-Parsing-Logik gelangen. Dadurch können Angreifer:

  • Dateien lesen oder anlegen
  • Shell-Commands ausführen
  • Server-seitige Authentifizierungs-Bypässe durchführen
  • Persistente Backdoors platzieren

Besonders brisant: Die Lücke funktioniert auch ohne Authentifizierung – ein Paradebeispiel für Zero-Click-Exploitation im Web-Bereich.

4. Welche Auswirkungen drohen?

Die Auswirkungen reichen von Datenabfluss über vollständige Systemkompromittierung bis hin zum Zugang zu Cloud-Ressourcen. Besonders Unternehmen mit digitalem Produktportfolio, Portalen oder SaaS-Plattformen sind gefährdet.

5. Sofortmaßnahmen & Empfehlungen

  • 1

    Unbedingt sofort updaten:
    Aktualisieren Sie react-server-dom-Pakete und Frameworks auf die gepatchten Versionen (≥ 19.0.1 / 19.1.2 / 19.2.1).

  • 2

    Server-Routen prüfen:
    Identifizieren Sie alle öffentlich exponierten RSC- und API-Endpunkte und begrenzen Sie den Zugriff.

  • 3

    WAF einsetzen:
    Blockieren Sie verdächtige RSC-Payloads über Web-Application-Firewalls oder Edge-Gateways.

  • 4

    Monitoring schärfen:
    Überwachen Sie Server-Prozesse, Dateiänderungen und Logs für mögliche Kompromittierungsanzeichen.

  • 5

    Dependency-Tree prüfen:
    Analysieren Sie indirekte Abhängigkeiten, die die verwundbaren Pakete womöglich transitiv einbinden.

6. Fazit

React2Shell ist eine der schwerwiegendsten Schwachstellen im modernen Web-Ökosystem. Der Vorfall zeigt, wie wichtig Dependency-Management, kontinuierliche Sicherheitsüberwachung und klare Architekturentscheidungen sind. Unternehmen sollten nicht nur patchen, sondern ihre gesamte RSC-Architektur überprüfen — besonders, wenn kritische Workloads betroffen sind.

Autor: Daniel Kohsyk — IT-Security Specialist

React2Shell zeigt erneut: Moderne Web-Stacks sind mächtig – aber verwundbar. Resilienz beginnt mit sauberen Abhängigkeiten, klaren Grenzen und echtem Security-Design.