05. Dezember 2025
Beschreibung
Diese Woche wurden kritische Sicherheitslücken in den React Server
Components veröffentlicht. Diese Schwachstellen ermöglichen
unauthentifizierte Remote-Code Execution sofern Anwendungen die
betroffenen Server Components einsetzen. [100]Mittlerweile wird diese
Sicherheitslücke aktiv ausgenutzt um verwundbare Installationen zu
kompromittieren. Proof-of-Concept Exploits sind bereits öffentlich
zugänglich.
CVE-Nummer(n): CVE-2025-55182
CVSS Base Score: 10.0
Auswirkungen
Ein:e nicht authentifizierte:r Angreifer:in kann über das Netzwerk
speziell präparierte Anfragen an betroffene Installationen senden, die
eine unsichere Objekt-Deserialisierung auslösen. Dies führt zur
Ausführung von beliebigem Code mit auf dem betroffenen Server.
Betroffene Systeme
Anwendungen die die Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0
folgender Pakete einsetzen:
* react-server-dom-webpack
* react-server-dom-parcel
* react-server-dom-turbopack
Diese Pakete werden zumindest auch in folgenden Frameworks
ausgeliefert:
* next,
* react-router,
* waku,
* @parcel/rsc,
* @vitejs/plugin-rsc
* rwsdk
Gleichzeitig weisen die Entwickler:innen von React darauf hin, dass nur
Anwendungen verwundbar sind, die auf einem Server laufen und mithilfe
eines Frameworks mit React Server Components realisiert wurden. Ein
pauschales Sicherheitsrisiko für alle React-Anwendungen ist nicht
gegeben.
Abhilfe
React hat Softwareupdates veröffentlicht, welche die Sicherheitslücken
beheben. Details zum Update von React sowie auch anderer betroffener
Frameworks, welche die betroffenen Komponenten mitausliefern, finden
sich im [101]Advisory von React.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Sollten Sie Opfer eines Angriffes unter Ausnutzung dieser Lücke/n
geworden sein bitten wir Sie uns zu informieren.
__________________________________________________________________
Informationsquelle(n):
Advisory React
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-…
Blog-Artikel AWS:
https://aws.amazon.com/de/blogs/security/china-nexus-cyber-threat-groups-ra…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien