Six Eight Consulting
Navigation öffnen
Kontakt
React2Shell (CVE-2025-55182): schematische Darstellung Flight-Payload, Deserialisierung und Remote Code Execution
Blog

React2Shell (CVE-2025-55182): RCE in React Server Components & Next.js – Betroffenheit prüfen & Sofortmaßnahmen

React2Shell (CVE-2025-55182) ist eine kritische RCE in React Server Components und Next.js (App Router). So prüfen Sie Betroffenheit und setzen Sofortmaßnahmen um.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 5 Min. Lesezeit

React2Shell (CVE-2025-55182) ist eine kritische Remote-Code-Execution-Schwachstelle in React Server Components und insbesondere in Next.js-App-Router-Setups. Ein einziger, speziell präparierter HTTP-Request kann ausreichen, um beliebigen Code auf Ihrem Server auszuführen – ohne Login, ohne Benutzerinteraktion.

Dieser Beitrag ist für Teams gedacht, die schnell entscheiden müssen: Bin ich betroffen? Und wenn ja: Was muss ich heute tun? Sie bekommen eine klare Betroffenheitsprüfung, Sofortmaßnahmen (Patch/Workaround/Detection) und Lessons Learned für Startups & KMU.

TL;DR – die 4 wichtigsten Schritte

  1. 1

    Betroffenheit prüfen

    React 19.x mit RSC oder Next.js App Router im serverseitigen Einsatz?

  2. 2

    Sofort patchen

    Auf die vom React-/Next.js-Team bereitgestellten, gefixten Versionen aktualisieren.

  3. 3

    Rückwirkend prüfen

    Logs/WAF/Cloud auf IoCs und ungewöhnliche Requests untersuchen.

  4. 4

    Falls Verdacht

    Secrets rotieren, Systeme isolieren, Incident Response starten.

React2Shell in 60 Sekunden: Einordnung & Kontext

React2Shell wurde im Kontext der neuen React Server Components bekannt. Das React-Team veröffentlichte koordinierte Advisories und Fixes.

Der Vergleich zu Log4Shell kommt nicht von ungefähr: Auch hier kann in bestimmten Setups eine RCE ohne Login möglich sein – und Threat-Intelligence-Quellen berichten über aktive Ausnutzung.

Was ist React2Shell (CVE-2025-55182)? Eine Erklärung in einfachen Worten

React2Shell ist eine kritische Schwachstelle im Server-Teil der React Server Components (Flight-Protokoll). Angreifer können präparierte Daten so einspeisen, dass der Server diese am Ende wie Code behandelt.

Bin ich betroffen? Quick Check in 3 Minuten

Der wichtigste Punkt: Client-only React (SPA im Browser) ist in der Regel nicht direkt betroffen. Kritisch wird es, wenn Ihr Setup serverseitig RSC/SSR nutzt (z. B. Next.js App Router).

Schnelltest per Dependency-Liste

bash 
# Im Repo ausführen:
node -v
npm ls next react react-dom react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel

# Wenn Sie pnpm/yarn nutzen:
pnpm why next react react-dom
yarn why next react react-dom
Eingesetzte React-/Next.js-Versionen und RSC-Pakete im Repo auflisten.

Entscheidungsregel

  • Next.js App Router (app/) + serverseitiges Rendering/RSC → als kritisch behandeln.
  • Pages Router (pages/) ohne RSC → meist nicht betroffen, trotzdem Updates prüfen.
  • Reines React-Frontend (Vite/CRA) ohne SSR → in der Regel nicht betroffen.

Wie funktioniert die Lücke technisch?

Technisch wird React2Shell häufig als Form unsicherer Deserialisierung eingeordnet: Der Server verarbeitet strukturierte Daten aus dem Flight-Stream und vertraut an mehreren Stellen dem Format zu sehr.

Für die Praxis entscheidend: Die Ausnutzung benötigt keine geheimen Informationen. Ein öffentlich erreichbarer RSC-/Server-Action-Endpunkt kann ausreichen, damit Scanner/Angreifer automatisiert testen.

Betroffene Frameworks & Versionen

Betroffen ist primär der Server-Anteil von React 19 und Frameworks, die RSC in bestimmten Versionen integrieren.

React / React Server Components

  • Besonders relevant sind RSC-Pakete wie react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack in betroffenen Releases.
  • Nutzen Sie die offiziellen Advisories/Release-Zweige für die gefixten Versionen.

Next.js

Besonders relevant: Next.js mit App Router. Prüfen Sie Ihre Version und patchen Sie gemäß den Security-Guides.

Typische Angriffsszenarien

In der Praxis sehen wir häufig: Erstzugriff → Secrets/Env auslesen → Cloud-Pivoting → Persistenz. Das Risiko betrifft damit nicht nur die App, sondern oft die gesamte Plattform.

  1. Recon & Secrets: Auslesen von process.env, .env und Configs.
  2. Cloud Pivoting: Zugriff auf Cloud-Ressourcen mit Tokens/Keys.
  3. Supply Chain: npm-/Git-/Registry-Tokens missbrauchen.

Erkennung & Indicators of Compromise (IoCs)

Da Exploits über reguläre HTTP-Requests laufen, ist Detection nicht immer trivial. Achten Sie auf Muster in HTTP/WAF-Logs und auf ungewöhnlichen Egress-Traffic.

Schnelle Checks

  • Spike an POST-Requests zu RSC-/Action-Endpunkten, ungewöhnliche Bodies, 5xx-Spitzen.
  • Unbekannte ausgehende Verbindungen (IP/DNS), ggf. lange/auffällige DNS-Hostnames.
  • Neue Prozesse/Binaries in /tmp, /dev/shm, auffällige CPU-Last.

Sofortmaßnahmen & Patch-Strategie

Für kleine Teams zählt jetzt vor allem Priorisierung: Betroffene Systeme patchen, dann rückwirkend prüfen, dann Prozesshärtung.

Sofort-Checkliste (praktisch)

  1. 1

    Inventarisieren

    Versionen & Deployments erfassen (Prod + Staging/Preview).

  2. 2

    Frameworks patchen

    React/RSC und Next.js auf gefixte Versionen aktualisieren.

  3. 3

    Logs prüfen

    Logs seit Anfang Dezember sichten (HTTP/WAF/Cloud/CI).

  4. 4

    Bei Verdacht handeln

    Secrets/Keys rotieren, Incident Response starten, Scope klären.

Beispiel: Update pragmatisch ausrollen

bash 
# Beispiel: Next.js/React aktualisieren (Versionen an Ihre Advisories anpassen)
npm install next@latest react@latest react-dom@latest

# Clean rebuild
rm -rf node_modules .next
npm install
npm run build
Next.js/React aktualisieren und sauber neu bauen (Versionen an Ihre Advisories anpassen).

Lessons Learned für Startups & KMU

React2Shell ist ein Reminder: Dependency-Security ist Business-kritisch. Wer Updates, Ownership und Monitoring etabliert, reduziert Risiko massiv – ohne Over-Engineering.

Lessons Learned

LessonPragmatische Umsetzung
Updates sind ein ProzessFixe Update-Slots (z. B. wöchentlich), klare Ownership, CI-Checks.
Monitoring ist PflichtHTTP/WAF-Logs + Cloud-Audit + Egress-Überwachung (mindestens Baseline).
Incident-Rollen vorher klärenWer patcht? Wer entscheidet? Wer kommuniziert? (auch bei kleinen Teams).

Häufige Fragen zu React2Shell

Häufige Fragen zu React2Shell

Sind wir betroffen, wenn wir nur eine React-Frontend-App haben?
Wenn Ihre Anwendung ausschließlich im Browser rendert und keine React Server Components oder Fullstack-Frameworks wie Next.js einsetzt, sind Sie von React2Shell in der Regel nicht direkt betroffen. Nutzen Sie jedoch SSR- oder Fullstack-Features eines Frameworks, ist eine genaue Prüfung Pflicht.
Reicht es, eine WAF-Regel zu aktivieren?
WAF-Regeln und zusätzliche Filter können das Risiko temporär reduzieren, ersetzen aber nicht das Einspielen der vom React- bzw. Next.js-Team bereitgestellten Patches. Ein Update auf eine nicht verwundbare Version ist der einzige nachhaltige Fix.
Müssen wir unsere Kund:innen aktiv informieren?
Ob Sie Ihre Kund:innen aktiv informieren müssen, hängt davon ab, ob es Hinweise auf eine tatsächliche Kompromittierung und einen Datenabfluss gibt. Ohne solche Hinweise genügt oft eine interne Dokumentation der Maßnahmen. Bei konkreten Anzeichen für ein Datenleck können gesetzliche Meldepflichten greifen – holen Sie im Zweifel Rechtsberatung ein.
Wie können wir uns besser auf die nächste „-Shell“ vorbereiten?
Etablieren Sie Security als laufenden Prozess: Abonnieren Sie Security-Advisories der eingesetzten Produkte, setzen Sie Software-Composition-Analysis in allen Repositories ein, planen Sie feste Update-Zeitfenster ein und definieren Sie klare Ownership. Ein Security-Champion im Dev-Team, der diese Themen bündelt, hilft enorm – selbst bei geringem Zeitbudget.

Themen

React2ShellCVE-2025-55182React Server ComponentsRemote Code ExecutionNext.js App RouterDevSecOpsReactNext.jsStartup-SecuritySoftware-Supply-Chain

Quellen

  1. React Team: Critical Security Vulnerability in React Server Components (CVE-2025-55182)React Team, 3. Dezember 2025
  2. Wiz Research: React2Shell (CVE-2025-55182) – Critical React VulnerabilityWiz Research, 2025
  3. AWS Security Blog: China-nexus cyber threat groups rapidly exploit React2ShellAWS Security Blog, 2025
  4. Tenable: React2Shell RCE (CVE-2025-55182) & Next.js (CVE-2025-66478) – AnalysisTenable, 2025
  5. React2Shell (CVE-2025-55182) – Projektseite & FAQReact2Shell Projekt, 2025
  6. Dark Reading: Exploitation Activity Ramps Up Against React2ShellDark Reading, 2025
  7. Logpoint: After React2Shell – Following the Attacker From Access to ImpactLogpoint, 2025
  8. JFrog: React2Shell (CVE-2025-55182) – Detection & Mitigation GuideJFrog, 2025
  9. Dynatrace: React2Shell CVE-2025-55182 – What it is and what to doDynatrace, 2025