React2Shell: Kritische Sicherheitslücke in Next.js und React – Sofort handeln!
Status bei WZ-IT: Wir haben bereits alle von uns betreuten Kundensysteme auf gepatchte Versionen aktualisiert. Mit diesem Beitrag möchten wir dazu beitragen, dass die Dringlichkeit dieser Schwachstelle bekannt wird und möglichst viele Systeme schnell gepatcht werden.
Am 3. Dezember 2025 wurde eine der schwerwiegendsten Sicherheitslücken der letzten Jahre im JavaScript-Ökosystem veröffentlicht: CVE-2025-55182, auch bekannt als React2Shell. Mit einem CVSS-Score von 10.0 (Maximum) handelt es sich um eine kritische Remote Code Execution (RCE) Schwachstelle, die Millionen von Webanwendungen betrifft.
Wenn Sie Next.js oder React Server Components einsetzen: Stoppen Sie alles andere und patchen Sie sofort.
Inhaltsverzeichnis
- Was ist React2Shell?
- Technische Details
- Betroffene Versionen
- Gepatchte Versionen
- Aktive Ausnutzung
- Sofortmaßnahmen
- Bin ich betroffen?
- WAF-Schutz reicht nicht
- Fazit
- Quellen
Was ist React2Shell?
React2Shell ist eine Unsafe Deserialization Vulnerability in React Server Components. Die Schwachstelle wurde von Sicherheitsforscher Lachlan Davidson entdeckt und am 29. November 2025 an das Meta-Team gemeldet.
Das Problem liegt im Flight Protocol – dem Serialisierungsformat, das React Server Components für die Kommunikation zwischen Server und Client verwenden. Durch eine fehlerhafte Validierung von eingehenden Payloads können Angreifer beliebigen Code auf dem Server ausführen.
Kritisch: Standard Next.js-Anwendungen, die mit
create-next-apperstellt wurden, sind ohne jegliche Code-Änderungen verwundbar.
Technische Details
Die Schwachstelle betrifft die Deserialisierungslogik in React Server Components:
- CVE-2025-55182: Die Hauptschwachstelle in React Server Components
- CVE-2025-66478: Die spezifische Ausprägung in Next.js
Wenn ein Server einen speziell präparierten, manipulierten Payload erhält, wird die Struktur nicht korrekt validiert. Dadurch können vom Angreifer kontrollierte Daten die serverseitige Ausführungslogik beeinflussen – was zur Ausführung von privilegiertem JavaScript-Code führt.
Betroffene Pakete:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
Betroffene Frameworks:
- Next.js (App Router)
- React Router (mit RSC)
- Waku
- @parcel/rsc
- @vitejs/plugin-rsc
- rwsdk
Betroffene Versionen
React Server Components
| Betroffene Version | Gepatchte Version |
|---|---|
| 19.0.0 | 19.0.1 |
| 19.1.0, 19.1.1 | 19.1.2 |
| 19.2.0 | 19.2.1 |
Next.js
| Betroffene Version | Gepatchte Version |
|---|---|
| 15.0.x | 15.0.5 |
| 15.1.x | 15.1.9 |
| 15.2.x | 15.2.6 |
| 15.3.x | 15.3.6 |
| 15.4.x | 15.4.8 |
| 15.5.x | 15.5.7 |
| 16.0.x | 16.0.7 |
Canary-Versionen:
- Next.js 14 canaries nach 14.3.0-canary.76 → Downgrade auf 14.3.0-canary.76
- Next.js 15 canaries vor 15.6.0-canary.58 → Upgrade auf 15.6.0-canary.58
- Next.js 16 canaries vor 16.1.0-canary.12 → Upgrade auf 16.1.0-canary.12
Gepatchte Versionen
React: 19.0.1, 19.1.2, 19.2.1
Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
Aktive Ausnutzung
Die Schwachstelle wird aktiv ausgenutzt.
Laut AWS Security Blog beobachteten Amazon Threat Intelligence Teams innerhalb von Stunden nach der Veröffentlichung am 3. Dezember 2025 aktive Exploitation-Versuche durch mehrere staatlich unterstützte Gruppen, darunter:
- Earth Lamia (China-nexus)
- Jackpot Panda (China-nexus)
Wiz Research berichtet, dass 39% aller Cloud-Umgebungen Instanzen von Next.js oder React in verwundbaren Versionen enthalten. Mehr als 968.000 Server wurden als potenziell angreifbar identifiziert.
Seit dem 5. Dezember 2025 um 6:00 UTC werden erfolgreiche Kompromittierungen beobachtet.
Sofortmaßnahmen
1. Version prüfen
# Im Browser-Entwicklertools auf einer Seite Ihrer App:
next.version
# Oder in package.json prüfen
cat package.json | grep next
2. Automatisches Patchen (Next.js)
Vercel hat ein npm-Paket bereitgestellt:
npx fix-react2shell-next
3. Manuelles Update
# Für Next.js 15.5.x
npm install [email protected]
# Für Next.js 16.0.x
npm install [email protected]
# React aktualisieren
npm install [email protected] [email protected]
4. Neu deployen
Nach dem Update müssen Sie Ihre Anwendung neu deployen. Ein einfaches Neustart des Servers reicht nicht.
5. Logs prüfen
Überprüfen Sie Ihre Anwendungslogs auf:
- Ungewöhnliche POST-Requests
- Spikes bei Function Timeouts
- Verdächtige Aktivitäten
Bin ich betroffen?
Sie sind betroffen, wenn:
- ✅ Sie Next.js mit App Router verwenden (Versionen 15.0.0 - 16.0.6)
- ✅ Sie React Server Components in einer der betroffenen Versionen nutzen
- ✅ Ihre Anwendung serverseitige React-Komponenten verwendet
Sie sind NICHT betroffen, wenn:
- ❌ Sie nur Client-Side React ohne Server verwenden
- ❌ Sie kein Framework/Bundler mit React Server Components Support nutzen
- ❌ Sie Next.js Pages Router (ohne App Router) verwenden
- ❌ Sie Next.js 14.x (stabile Version) ohne Canary-Features nutzen
Schnelltest
Führen Sie in der Browser-Konsole auf einer Seite Ihrer App aus:
next.version
Vergleichen Sie das Ergebnis mit den betroffenen Versionen oben.
WAF-Schutz reicht nicht
Vercel, Cloudflare, AWS, Akamai, Fastly und Google Cloud haben WAF-Regeln deployed, die bekannte Exploit-Muster blockieren. Aber:
WAF-Regeln sind nur eine zusätzliche Verteidigungsschicht. Sie können nicht alle möglichen Varianten eines Angriffs abwehren. Ein Upgrade auf eine gepatchte Version ist die einzige vollständige Lösung.
Vercel blockiert seit dem 5. Dezember 2025 auch neue Deployments von Projekten mit verwundbaren Next.js-Versionen.
Fazit
CVE-2025-55182 (React2Shell) ist eine der kritischsten Schwachstellen, die das JavaScript-Ökosystem je getroffen hat:
- CVSS 10.0 – Maximum Severity
- Remote Code Execution ohne Authentifizierung
- Aktive Ausnutzung durch staatliche Akteure
- Millionen betroffener Anwendungen
Handeln Sie jetzt:
- Prüfen Sie Ihre Next.js/React-Version
- Aktualisieren Sie auf eine gepatchte Version
- Deployen Sie Ihre Anwendung neu
- Überprüfen Sie Ihre Logs auf verdächtige Aktivitäten
Die gute Nachricht: Patches sind verfügbar und das Update ist in den meisten Fällen unkompliziert.
Unsere Unterstützung
Sie sind unsicher, ob Ihre Systeme betroffen sind, oder benötigen Hilfe beim Patchen? WZ-IT unterstützt Sie:
- Schnelle Sicherheitsaudits Ihrer Web-Infrastruktur
- Patch-Management und Deployment-Unterstützung
Quellen
- Vercel Blog: Resources for protecting against 'React2Shell'
- React.dev: Critical Security Vulnerability in React Server Components
- AWS Security Blog: China-nexus cyber threat groups rapidly exploit React2Shell vulnerability
- Wiz Blog: Critical RCE Vulnerabilities Discovered in React & Next.js
- Tenable: React2Shell RCE (CVE-2025-55182)
- Datadog Security Labs: CVE-2025-55182 (React2Shell)
- Help Net Security: Max-severity vulnerability in React, Node.js patched
- The Hacker News: Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution
- Rapid7: React2Shell, Critical unauthenticated RCE affecting React Server Components
- react2shell.com
Häufig gestellte Fragen
Antworten auf wichtige Fragen zu diesem Thema
React2Shell ist eine kritische Sicherheitslücke (CVSS 10.0) in React Server Components, die Remote Code Execution auf dem Server ermöglicht. Angreifer können über manipulierte Payloads beliebigen Code auf betroffenen Servern ausführen.
Betroffen sind React Server Components in den Versionen 19.0.0, 19.1.0, 19.1.1 und 19.2.0. Gepatchte Versionen sind 19.0.1, 19.1.2 und 19.2.1.
Betroffen sind Next.js 15.0.0 bis 16.0.6. Gepatchte Versionen: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 und 16.0.7.
Ja, wenn Sie React Server Components oder Next.js mit App Router in einer betroffenen Version verwenden. Standard create-next-app Projekte sind ohne Code-Änderungen verwundbar.
Ja. Seit dem 5. Dezember 2025 werden aktive Angriffe beobachtet, unter anderem von staatlich unterstützten Gruppen. Sofortiges Patchen ist zwingend erforderlich.
Vercel bietet ein npm-Paket: npx fix-react2shell-next. Alternativ manuell auf eine gepatchte Version aktualisieren und neu deployen.
WAF-Regeln (z.B. von Cloudflare, AWS, Vercel) bieten zusätzlichen Schutz, können aber nicht alle Varianten abwehren. Ein Upgrade auf eine gepatchte Version ist die einzige vollständige Lösung.
Nein. Die Schwachstelle betrifft nur serverseitige React-Komponenten (React Server Components). Reine Client-Side React-Anwendungen ohne Server-Rendering sind nicht betroffen.
Lassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee – wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Vertraut von führenden Unternehmen
Timo Wevelsiep & Robin Zins
Geschäftsführer