Am 3. Dezember 2025 wurde eine kritische Schwachstelle in den React Server Components und dem darauf aufbauenden Next.js Framework veröffentlicht. Die Sicherheitslücke ermöglicht eine Remote Code Execution (RCE), also das Ausführen beliebigen Codes auf betroffenen Servern, und betrifft potenziell tausende Webanwendungen weltweit. Besonders gefährlich: Die Schwachstelle kann unauthentifiziert und remote ausgenutzt werden.
Etwa 40% aller Cloud-Umgebungen könnten betroffen sein.
Heute, nur zwei Tage später, kam es zu einem massiven globalen Ausfall bei Cloudflare. Dienste wie LinkedIn, Zoom, Anthropic und viele weitere waren zeitweise nicht erreichbar. Der Grund: Cloudflare hatte interne Logging-Funktionen deaktiviert, um auf die React-Sicherheitslücke zu reagieren. Das führte zu einem Dominoeffekt innerhalb ihrer Infrastruktur.
Die Schwachstelle erhielt von Sicherheitsforschern und Plattformen wie Wiz.io den Spitznamen „React2Shell“. Der CVSS-Score liegt bei 10.0, der maximal möglichen Kritikalität.
React Server Components (RSC) ermöglichen serverseitiges Rendering von React-Komponenten. Dabei kommt ein internes Übertragungsprotokoll namens „Flight“ zum Einsatz. Sicherheitsforscher entdeckten, dass Angreifer über manipulierte Payloads unsichere Deserialisierungsprozesse auslösen können. Das Resultat: beliebiger Code kann auf dem Zielserver ausgeführt werden.
Betroffen sind insbesondere folgende React-Pakete:
Betroffen sind insbesondere Versionen 19.0.0, 19.1.0, 19.1.1 und 19.2.0 dieser Pakete. Die offizielle CVE-ID für React lautet CVE‑2025‑55182.
Da das populäre Webframework Next.js ab Version 13 standardmäßig auf React Server Components (RSC) setzt, sind auch viele Next.js-Anwendungen verwundbar. Die Next.js-Lücke wurde separat als CVE‑2025‑66478 geführt.
Betroffen sind insbesondere alle Versionen mit aktiviertem App Router, vor allem aus den Major-Versionen 15.x und 16.x. Auch experimentelle „Canary“-Releases sind betroffen.
Die Next.js-Maintainer warnen ausdrücklich davor, sich auf Konfigurationseinstellungen zu verlassen, da es keinen Schalter zur Deaktivierung des gefährdenden Verhaltens gibt. Ein Update ist zwingend erforderlich.
Die Schwachstelle erlaubt es Angreifern, beliebigen Code auf dem Server auszuführen – ohne Authentifizierung. Damit sind u. a. folgende Szenarien denkbar:
Besonders kritisch ist dies bei öffentlich erreichbaren SaaS‑Plattformen, Webportalen, API-Gateways und Customer Frontends.
Neben React und Next.js können auch andere Frameworks und Toolchains betroffen sein, wenn sie React Server Components einsetzen. Dazu zählen:
Ob Ihre Systeme betroffen sind, hängt maßgeblich davon ab, ob React RSC-Funktionalitäten oder darauf aufbauende Frameworks in der Produktion eingesetzt werden.
Die React- und Next.js-Teams haben bereits Sicherheitsupdates veröffentlicht:
Empfohlene Maßnahmen:
1. Führen Sie eine Inventarisierung Ihrer Webanwendungen durch
2. Identifizieren Sie betroffene React- und Next.js-Versionen
3. Aktualisieren Sie auf die gepatchten Versionen
4. Prüfen Sie Server-Logs auf verdächtige Aktivitäten (z. B. ungewöhnliche POST-Payloads)
5. Ergänzen Sie zusätzliche Schutzmechanismen: z. B. Web Application Firewalls (WAF), IDS/IPS
Mit dem External Attack Surface Management von LocateRisk erkennen Unternehmen automatisch, ob öffentlich erreichbare Systeme von bekannten Schwachstellen , wie CVE‑2025‑55182, betroffen sind.
Die Plattform scannt Ihre externe Angriffsfläche und informiert Sie über neue CVEs, potenzielle Angriffsvektoren und Konfigurationsfehler. Essenzielle Reaktionszeit auf kritische Sicherheitslücken wie React2Shell kann damit drastisch reduziert werden.
Dank integrierter Priorisierung, Risikobewertung und automatisierter Reports behalten IT-Teams und Management stets den Überblick. Auch in Ausnahmesituationen.
Deutsch 
English 
Français