Eine schwerwiegende Sicherheitslücke in React und davon abhängigen Frameworks wie Next.js bedroht zahlreiche Serversysteme weltweit. Angreifer können diese Schwachstelle ausnutzen, um aus der Ferne Schadcode auszuführen. Entwickler sollten daher dringend verfügbare Sicherheitsupdates installieren, um ihre Anwendungen zu schützen.
Die kritische React-Sicherheitslücke betrifft die sogenannten React Server Components (RSC), eine Technologie zur Aufteilung der Benutzeroberfläche zwischen Server und Client. Schätzungen zufolge sind etwa 39 Prozent aller Cloud-Umgebungen potenziell gefährdet, da sie anfällige Versionen von React oder Next.js einsetzen. Dies verdeutlicht das immense Ausmaß der Bedrohung.
So funktioniert der Angriff
Die Sicherheitslücke entsteht durch eine unsichere Deserialisierung im „Flight“-Protokoll der React Server Components. Deserialisierung bezeichnet den Prozess, bei dem Daten aus einem Speicherformat wieder in ein Objekt umgewandelt werden. Wenn dieser Vorgang nicht ausreichend abgesichert ist, können Angreifer manipulierte Daten einschleusen.
Durch einen speziell präparierten HTTP-Request, also eine Anfrage an den Server, können Kriminelle diesen Prozess ausnutzen. Dadurch gelingt es ihnen, eigenen Code auf dem Server auszuführen, ohne sich dafür authentifizieren zu müssen. Sicherheitsexperten konnten diese Angriffsmethode mit einer Erfolgsquote von fast 100 Prozent nachstellen, was die Gefahr unterstreicht.
Warum die kritische React-Sicherheitslücke so gefährlich ist
Die Schwachstelle mit der Kennung CVE-2025-55182 wurde mit dem höchstmöglichen Schweregrad von 10.0 bewertet. Das populäre Framework Next.js, das auf React aufbaut, ist ebenfalls betroffen und hat eine eigene Kennung (CVE-2025-66478) für das Problem vergeben, obwohl es sich um dieselbe Ursache handelt. Ein besonderes Risiko besteht darin, dass die Lücke bereits in der Standardkonfiguration angreifbar ist.
Das bedeutet, dass Entwickler keine besonderen Konfigurationen vornehmen müssen, um zur Zielscheibe zu werden; eine neu erstellte Next.js-Anwendung kann bereits verwundbar sein. Neben Next.js sind außerdem weitere Projekte wie Waku, RedwoodSDK und Plugins für Vite und Parcel betroffen, die ebenfalls auf React Server Components setzen.
Diese Maßnahmen müssen Entwickler jetzt ergreifen
Um die kritische React-Sicherheitslücke zu schließen, müssen betroffene Systeme umgehend aktualisiert werden. Die Entwicklerteams von React und Vercel (dem Unternehmen hinter Next.js) haben bereits reagiert und Patches bereitgestellt. Es ist entscheidend, alle Abhängigkeiten zu überprüfen und auf die neuesten, sicheren Versionen zu aktualisieren.
- React-Pakete: Betroffen sind die Pakete
react-server-dom-webpack,react-server-dom-parcelundreact-server-dom-turbopackin den Versionen 19.0.0 bis 19.2.0. Ein Upgrade auf die Versionen 19.0.1, 19.1.2 oder 19.2.1 behebt das Problem. - Next.js: Anfällig sind Versionen, die den App Router verwenden, darunter die Versionen 15 und 16 sowie bestimmte Canary-Versionen von 14. Auch hier stehen entsprechende Updates zur Verfügung, die eingespielt werden sollten.
- Weitere Tools: Auch für andere betroffene Frameworks und Bundler wie Vite, Parcel oder Waku werden Updates bereitgestellt, die dringend installiert werden müssen.
Einige Hosting-Anbieter wie Vercel haben zusätzlich Web-Application-Firewall-Regeln (WAF) implementiert, um bösartige Anfragen automatisch zu blockieren. Dies bietet einen ersten Schutz, ersetzt jedoch nicht die Notwendigkeit, die zugrunde liegende Software zu aktualisieren, denn nur ein Patch schließt die Lücke vollständig.
