Blackfort Technology
CRITICAL · CVSS 10.0IT-Security · Fachbeitrag17. Juli 2026·Christian Gebhardt

React2Shell – CVE-2025-55182: Kritische unauthentifizierte RCE in React Server Components und Next.js

Eine einzige HTTP-Anfrage reicht aus, um auf einem ungepatchten Next.js-Server eine Shell zu öffnen – ohne Authentifizierung, ohne Benutzerinteraktion. CVE-2025-55182 (CVSS 10.0) trifft React 19 und Next.js 15/16 und wird aktiv ausgenutzt. Wir zeigen den Mechanismus, die Detektion via SBOM und die einzige wirksame Gegenmaßnahme: sofortiges Patchen.

React2Shell CVE-2025-55182 – kritische RCE in React Server Components

Blackfort auf LinkedIn folgen

Sicherheitsvorfälle, technische Analysen und Einblicke aus der Praxis — direkt in Ihrem LinkedIn-Feed.

Folgen
Auf einen Blick – CVE-2025-55182 (React2Shell)
  • CVE-ID: CVE-2025-55182 (React) / CVE-2025-66478 (Next.js, NVD-Duplikat)
  • CVSS: 10.0 CRITICAL · AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • CWE: CWE-502 – Deserialisierung nicht vertrauenswürdiger Daten
  • Veröffentlicht: 3. Dezember 2025 · CISA KEV: 5. Dezember 2025
  • Aktive Ausnutzung: seit 4. Dezember 2025 (inkl. staatliche Akteure)
  • Betroffen: React 19.0–19.2.0, Next.js 15.x / 16.x (App Router)
  • Workaround: Keiner verfügbar – nur Patchen hilft
  • Entdecker: Lachlan Davidson (responsible disclosure)
Stand Juli 2026 – längst gepatcht

CVE-2025-55182 ist seit der Veröffentlichung im Dezember 2025 gepatcht (gefixte Versionen siehe Tabelle unten). Wir betrachten den Fall hier rückblickend als Lehrstück – nicht als akuten Notfall. Die eigentliche, bleibende Erkenntnis ist nicht diese eine Lücke, sondern das Muster: Anwendungen erben die Schwachstellen der wiederverwendeten Fremdbibliotheken. Wer eine SBOM-basierte Prüfung in der CI/CD-Pipeline betreibt, erkennt solche Fälle automatisch und früh – egal, welche Lücke als Nächstes kommt. Prüfen Sie darum weniger „habe ich React2Shell gepatcht?" als vielmehr „hätte meine Pipeline es von allein erkannt?".

Was ist passiert?

Am 3. Dezember 2025 veröffentlichte Vercel gemeinsam mit Meta/React ein koordiniertes Security Advisory zu einer Schwachstelle, die seither unter dem Kampagnennamen React2Shell bekannt ist. Bereits am Folgetag begann laut Palo Alto Unit 42 die aktive Ausnutzung in der freien Wildbahn – darunter staatlich gesponserte Akteure aus China (CL-STA-1015/UNC5174) und Nordkorea (UNC5342).

Die Reichweite ist beispiellos: React wird von rund 40 % aller JavaScript-Entwicklerinnen und -Entwickler eingesetzt, Next.js läuft unter einem erheblichen Teil aller modernen Web-Applikationen. Laut Shadowserver waren am 5. Dezember 2025 schätzungsweise knapp 78.000 öffentlich erreichbare Hosts verwundbar.

Technischer Hintergrund: Warum führt ein HTTP-Request zur Shell?

React Server Components (RSC) nutzen ein binäres Serialisierungsformat – das sogenannte React Flight Protocol – um Daten und Komponenten-Bäume zwischen Server und Client zu übertragen. Server Functions (früher „Server Actions") erlauben es, Client-Komponenten dazu zu bringen, serverseitigen Code aufzurufen, indem sie einen HTTP-POST-Request an einen internen Endpunkt senden.

Die Verwundbarkeit (CWE-502) liegt in der Deserialisierungslogik der Pakete react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack: Ein Angreifer kann den Payload des Flight-Protokolls so manipulieren, dass beim Deserialisieren auf dem Node.js-Server beliebiger Code ausgeführt wird – ohne gültige Authentifizierung, ohne Benutzerinteraktion. Der vollständige CVSS-Vektor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H spiegelt dies wider.

Kein Workaround verfügbar

Laut dem offiziellen Next.js-Advisory und der Empfehlung von Meta/React existiert kein Konfigurationsworkaround, der die Schwachstelle wirksam entschärft. WAF-Regeln von Akamai, Cloudflare und anderen CDN-Anbietern können das Risiko mindern, ersetzen aber das Patchen nicht.

Betroffene Versionen

Betroffen sind ausschließlich Anwendungen, die den App Routervon Next.js verwenden. Der ältere Pages Router sowie der Edge Runtime sind laut Hersteller-Advisory nicht betroffen. Next.js 13.x und 14.x (Stable-Channel) sind ebenfalls nicht betroffen.

PaketVerwundbarGepatcht ab
react-server-dom-webpack19.0.0, 19.1.0, 19.1.1, 19.2.019.0.1 / 19.1.2 / 19.2.1
react-server-dom-parcel19.0.0, 19.1.0, 19.1.1, 19.2.019.0.1 / 19.1.2 / 19.2.1
react-server-dom-turbopack19.0.0, 19.1.0, 19.1.1, 19.2.019.0.1 / 19.1.2 / 19.2.1
next15.0.0–15.5.6, 16.0.0–16.0.615.3.6 / 15.5.7 / 16.0.7

Im Labor reproduziert: Wie der Angriff abläuft

Wir haben die Schwachstelle in einer isolierten Laborumgebung mit ausschließlich synthetischen Daten nachgestellt. Als Ziel diente eine Beispielanwendung mit next@15.3.0, react@19.1.0 und react-dom@19.1.0. Das Ergebnis: Eine einzige manipulierte POST-Anfrage an den Server-Function-Endpunkt liefert eine interaktive Shell auf dem Node.js-Prozess – als der Systembenutzer, unter dem der Next.js-Server läuft.

Terminal — Dependency-Track Alert (Labor)
# Dependency-Track flaggt GHSA-9qr9-h5gf-34mp für next@15.3.0
# (Auszug aus dem SBOM-Scan-Ergebnis im Labor)

Component:   next@15.3.0
Advisory:    GHSA-9qr9-h5gf-34mp
Severity:    CRITICAL
CVE:         CVE-2025-55182 / CVE-2025-66478
CVSS:        10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
State:       EXPLOITED (CISA KEV 2025-12-05)
Fix:         Upgrade to next@15.3.6

+ 25 weitere Findings für next@15.3.0 (HIGH–LOW)

Der entscheidende Punkt: Dieser Alert erscheint noch bevor die Anwendung deployt wird – nämlich beim SBOM-Scan in der CI/CD-Pipeline. Das Paket selbst trägt die verwundbare Version in seiner Metadatenbeschreibung; ein Policy-Gate in Dependency-Track blockiert den Build automatisch.

SBOM als Frühwarnsystem: Detektion vor dem Deploy

Klassische Laufzeit-Sicherheitslösungen erkennen CVE-2025-55182 erst dann, wenn ein Angriff stattfindet. Ein SBOM-basierter Ansatz kehrt diese Logik um: Die Software-Stückliste (CycloneDX-Format) enthält alle direkten und transitiven Abhängigkeiten mit exakten Versionsangaben. Dependency-Track gleicht diese kontinuierlich gegen öffentliche Advisories (OSV, GitHub Advisory Database, NVD) ab.

Dependency-Track ist eines der Werkzeuge, die genau diese wiederverwendeten Dritt-/Fremdbibliotheken direkt in der Build- bzw. CI/CD-Pipeline prüfen und bekannte Schwachstellen aufdecken — automatisiert, bei jedem Build, noch bevor die Anwendung deployt wird. (Vergleichbare Prüfungen leisten u. a. OWASP Dependency-Check, Grype, Trivy oder Snyk; das Prinzip bleibt gleich: die eingebundenen Fremdkomponenten gegen Schwachstellen-Datenbanken abgleichen.)

In unserem Labor-Scan identifizierte Dependency-Track 26 Findings für next@15.3.0 allein – angeführt von GHSA-9qr9-h5gf-34mp (CRITICAL, CVE-2025-55182). Ein SBOM-Policy-Gate hätte den Deployment-Build gestoppt, noch bevor die Anwendung einen einzigen Request entgegengenommen hätte.

Blackfort Supply-Chain-Security-Beratung

Wir helfen Ihnen, SBOM-Erzeugung und Dependency-Track in Ihre CI/CD-Pipeline zu integrieren – sodass kritische Schwachstellen wie CVE-2025-55182 automatisch vor dem Deploy erkannt und blockiert werden. Mehr zur Blackfort Supply-Chain-Security-Beratung →

Video: Angriff & Detektion

Das folgende Video zeigt die Schwachstelle, den Dependency-Track-Alert im Labor und die empfohlenen Sofortmaßnahmen.

Aktive Ausnutzung und Bedrohungslandschaft

Laut Palo Alto Unit 42 und AWS Security Blog begannen staatlich gesponserte Bedrohungsakteure die Schwachstelle bereits 24 Stunden nach der Veröffentlichung auszunutzen. Als Tooling wurden unter anderem Cobalt Strike, der Cryptominer XMRig, die Remote-Access-Tools VShell und EtherRAT sowie verschiedene Web-Shells (KSwapDoor) identifiziert. CISA bestätigt außerdem Ransomware-Kampagnen im Zusammenhang mit CVE-2025-55182.

Die CISA hat die Schwachstelle am 5. Dezember 2025 in ihren Known Exploited Vulnerabilities Catalog aufgenommen und für US-Bundesbehörden (FCEB) eine Patch-Frist bis zum 26. Dezember 2025 gesetzt.

Sofortmaßnahmen

Handlungsbedarf – jetzt patchen
  1. Betroffene Versionen identifizieren: Prüfen Sie alle Projekte auf next@15.x / 16.x mit App Router und react@19.x.
  2. Upgraden: npm install next@15.3.6 react@19.1.2 react-dom@19.1.2 (oder das interaktive Tool npx fix-react2shell-next).
  3. SBOM erstellen und scannen: CycloneDX-SBOM erzeugen und in Dependency-Track importieren – kontinuierliches Monitoring aktivieren.
  4. WAF-Regeln prüfen: Akamai, Cloudflare und AWS stellen Signaturen für CVE-2025-55182 bereit – als temporäre Zusatzmaßnahme, kein Ersatz für den Patch.
  5. Logs analysieren: Ungewöhnliche POST-Requests an Server-Function-Endpunkte (/_next/) auf Anomalien prüfen.
Shell — Upgrade via npm
# Betroffene Pakete aktualisieren
npm install next@15.3.6 react@19.1.2 react-dom@19.1.2

# Oder interaktives Upgrade-Tool von Vercel verwenden:
npx fix-react2shell-next

# Danach: neue SBOM erzeugen und verifizieren
npx @cyclonedx/cyclonedx-npm --output-file sbom.json
# → In Dependency-Track importieren und Findings prüfen

CVE-2025-55182 vs. CVE-2025-66478 – was ist der Unterschied?

Die Wurzel der Schwachstelle liegt im React-Paket selbst (CVE-2025-55182). Da Next.js als downstream-Framework direkt betroffen ist, wurde zunächst eine separate CVE-Kennung (CVE-2025-66478) vergeben und ein GHSA-Advisory (GHSA-9qr9-h5gf-34mp) veröffentlicht. Das NVD hat CVE-2025-66478 mittlerweile als Duplikat von CVE-2025-55182 gemergt; das GHSA-Advisory bleibt weiterhin aktiv und ist die primäre Referenz für Next.js-spezifische Patch-Informationen.

Fazit

CVE-2025-55182 (React2Shell) ist eine der gravierendsten Schwachstellen im JavaScript-Ökosystem der letzten Jahre. Der CVSS-Score von 10.0, die aktive Ausnutzung durch staatliche Akteure und der fehlende Workaround machen sofortiges Handeln unerlässlich. Die gute Nachricht: Wer eine SBOM-basierte Dependency-Analyse in seine Pipeline integriert hat, erhält den Alert – bevor die verwundbare Version überhaupt produktiv geht.

Rechtlicher Hinweis & Haftungsausschluss

Dieser Beitrag dient ausschließlich der Information und der Verbesserung der IT-Sicherheit (Erkennung und Härtung). Er stellt keine Rechtsberatung dar und enthält keine einsatzfähige Angriffsanleitung. Alle Tests fanden in einer isolierten Laborumgebung mit ausschließlich synthetischen Daten statt. Für Schäden aus der Anwendung der beschriebenen Inhalte wird keine Haftung übernommen.

Der zugrunde liegende Proof-of-Concept von Palo Alto Unit 42 (GHSA-9qr9-h5gf-34mp) ist öffentlich verfügbar. Der öffentliche Proof-of-Concept steht unter der MIT-Lizenz. Nennung und Lizenz werden respektiert; über den bereits öffentlichen Stand hinaus erfolgt keine Bewaffnung.

Kontakt aufnehmen

Bereit für den nächsten Schritt?

Sprechen Sie mit uns über Ihre Sicherheitsanforderungen – konkret, ohne Verpflichtung und auf Augenhöhe.