Security

React2Shell: Kritische Sicherheitslücke

React2Shell: Kritische Sicherheitslücke

December 11, 2025

React2Shell: Kritische Sicherheitslücke bedroht Webanwendungen weltweit – was Entscheider jetzt wissen müssen

Bei LimeByte behalten wir Sicherheitsentwicklungen im Web-Umfeld laufend im Blick – nicht nur für unsere eigenen Projekte, sondern auch für unsere Kundinnen und Kunden. Wenn sich kritische Risiken abzeichnen, informieren und handeln wir frühzeitig, damit Schäden gar nicht erst entstehen. Genau aus diesem Grund möchten wir heute auf eine aktuelle Bedrohung aufmerksam machen, die viele Web-Projekte betrifft.

Eine neu entdeckte Schwachstelle in React Server Components (RSC) sorgt derzeit für massive Unruhe in der IT-Security-Community. Unter dem Namen React2Shell (CVE-2025-55182) wird sie bereits aktiv von Cyberakteuren ausgenutzt – darunter laut AWS auch staatlich unterstützte Gruppen aus China. Die Einstufung: CVSS 10.0 – maximal kritisch.

Da React und insbesondere Next.js zu den meistverwendeten Webframeworks der Welt gehören, ist die Bedrohungslage entsprechend hoch. Laut Sicherheitsexperten von Wiz sind dadurch rund 39 % aller Cloud-Umgebungen weltweit potenziell verwundbar.

Warum ist die Schwachstelle so gefährlich?

Die Lücke ermöglicht es Angreifern, nicht-authentifiziert und aus der Ferne Code auf Servern auszuführen – ein sogenannter Remote Code Execution (RCE) Angriff. Besonders kritisch:

  • Die Ausnutzung ist sehr einfach
  • Bereits aktive Massen-Scanning- und Angriffswellen
  • Bereits veröffentlichte Proof-of-Concept Exploits
  • Kompatibel mit gängigen Frameworks wie Next.js, Expo, React Router, Vite oder Parcel

Kurz: Jede öffentlich erreichbare Webanwendung, die auf verwundbaren React- oder Next.js-Versionen basiert, ist ein potenzielles Angriffsziel.

Was passiert aktuell? – Angriffswelle bereits im Gange

Die Schwachstelle wird bereits aktiv genutzt. Beobachtete Angriffe beinhalten:

  • Installation von Cryptominern
  • Aufbau von Botnetzen
  • Einsatz persistenter Malware wie MeshCentral, EtherRAT oder BPFDoor
  • Exfiltration sensibler Daten und Zugangsdaten
  • Weiterverbreitung des Angriffs innerhalb kompromittierter Systeme

Mehrere Security-Hersteller wie GreyNoise, Wiz, FortiGuard und Unit42 berichten über massiv steigende Angriffszahlen und konkrete Indicators of Compromise (IoCs).

Wer ist betroffen?

Betroffen sind unter anderem folgende Pakete und Frameworks:

  • react-server-dom-webpack / parcel / turbopack
  • React 19.0.0 – 19.2.0
  • Next.js 15.x und 16.x (teils eigene CVE)
  • Diverse weitere Frameworks, die RSC integrieren

Entscheidend:
 Nicht jede React-App ist gefährdet — nur solche, die React Server Components serverseitig verwenden.

Allerdings: Viele Betreiber wissen oft nicht, ob RSC implizit durch Frameworks aktiviert wurde.

Patches sind bereits verfügbar – sofortiges Handeln notwendig

Folgende Versionen beheben die Schwachstelle:

React

  • 19.0.1, 19.1.2, 19.2.1

Next.js

  • 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7
  • 16.0.7

Zusätzlich haben zahlreiche weitere Frameworks Hotfixes bereitgestellt.

Wichtig: Eine Web Application Firewall (WAF) kann temporär helfen, ersetzt aber keine Aktualisierung.

 

So sollten Unternehmen jetzt reagieren

1. Sofort prüfen: Bin ich betroffen?

Kostenlose Tools zur Erkennung sind verfügbar. Auch wenn man denkt, kein RSC zu nutzen – prüfen lohnt sich.

2. Schnellstmöglich patchen

Alle betroffenen Pakete umgehend auf die neuesten Versionen aktualisieren.

3. Server auf Kompromittierung untersuchen

Aktuell gibt es konkrete IoCs, darunter:

  • ungewöhnliche POST-Requests mit speziellen Headern (next-action, rsc-action-id)
  • $@-Muster in Requests
  • Ausführung von Systembefehlen wie whoami, uname, id
  • unerwartete Dateien in /tmp
  • neue Prozesse, die aus Node.js heraus gestartet werden

Besonders Systeme, die nicht unmittelbar nach Veröffentlichung gepatcht wurden, sollten gründlich geprüft werden.

4. WAF-Regeln aktivieren (falls vorhanden)

Viele Anbieter liefern bereits Schutzregeln aus – jedoch nur als Ergänzung zum Patch.

5. Monitoring hochfahren

Gezielte und opportunistische Angriffe werden nach Einschätzung aller Security-Analysten über Wochen und Monate anhalten.

 

Fazit

React2Shell ist eine der schwerwiegendsten Schwachstellen der letzten Jahre – vergleichbar mit Log4Shell. Aufgrund der enormen Verbreitung von React und Next.js ist die Bedrohung für Unternehmen weltweit real und akut.

Für Entscheider bedeutet das:
 Jetzt sofort Maßnahmen einleiten, Systeme patchen lassen und gezielt nach Kompromittierungen suchen. Wer schnell handelt, kann größere Schäden vermeiden – wer zögert, riskiert weitreichende Angriffe auf kritische Systeme.

 

Quelle: BSI

Share this
Tweet this
Email this