Projekt anfragen
Zurück zu den News

React Sicherheitslücken Dezember 2025: Kritische Schwachstellen in React Server Components entdeckt

Autor

  • Samantha Mittermayr

    Ich arbeite als Management Assistant und im Projektmanagement. Dabei halte ich Projekte, Termine und Abläufe zusammen, sorge für klare Kommunikation im Team und bringe gleichzeitig meine kreative Seite bei unseren Newsbeiträgen mit ein.

    Alle Beiträge ansehen Management Assistant & Projekt Manager
Entwicklung

Im Dezember 2025 wurden innerhalb kurzer Zeit zwei sicherheitsrelevante Meldungen zu React Server Components (RSC) veröffentlicht. BEntwickler von React- und Next.js-Anwendungen mit React Server Components (RSC) oder Server Actions müssen ihre Systeme umgehend aktualisieren. Anfang und Mitte Dezember 2025 wurden mehrere Sicherheitslücken veröffentlicht, darunter eine kritische Remote-Code-Execution-Schwachstelle, die eine vollständige Übernahme betroffener Server ermöglichen konnte.

Kritische RCE-Schwachstelle: sofortiger Handlungsbedarf

Am 3. Dezember 2025 veröffentlichten die React-Maintainer eine Warnung zu einer unauthentifizierten Remote-Code-Execution-Schwachstelle (CVE-2025-55182, „React2Shell“).

Über speziell präparierte Requests an RSC- oder Server-Action-Endpunkte konnten Angreifer beliebigen Code auf dem Server ausführen, ohne Anmeldung oder weitere Hürden. Besonders betroffen sind Next.js-Anwendungen mit App Router sowie andere Frameworks, die React Server Components produktiv einsetzen.

Die Maintainer stuften die Lücke als kritisch ein und veröffentlichten noch am selben Tag gepatchte Versionen. Systeme, die bislang nicht aktualisiert wurden, gelten weiterhin als akut gefährdet.

Weitere Schwachstellen: geringere Schwere, aber relevant

Am 11. Dezember 2025 folgten zusätzliche Sicherheitsmeldungen, die am 12. Dezember präzisiert wurden. Diese Schwachstellen erlauben zwar keine Codeausführung, können jedoch:

  • Serverprozesse durch speziell präparierte Requests blockieren oder stark auslasten (Denial of Service, CVE-2025-55184, CVE-2025-67779)
  • Unter bestimmten Umständen den Abruf von kompiliertem Code aus Server Actions ermöglichen (CVE-2025-55183)

Die Maintainer wiesen darauf hin, dass erste Fixes für die DoS-Probleme unvollständig waren. Auch hier kann ein erneutes Update erforderlich sein.

Bin ich betroffen?

Betroffen sind insbesondere:

  • Anwendungen mit aktiv genutzten React Server Components oder Server Actions
  • Next.js mit App Router (Versionen 13.x bis 16.x)
  • React-19-RSC-Pakete, insbesondere react-server-dom-*

Nicht betroffen sind Anwendungen, die ausschließlich den Next.js Pages Router nutzen und keine RSC-Funktionen einsetzen.

Was jetzt zu tun ist

Entwickler und Betreiber sollten jetzt:

Entwickler und Betreiber von React- und Next.js-Anwendungen mit Server Components oder Server Actions sollten umgehend folgende Schritte durchführen:

  1. Abhängigkeiten vollständig aktualisieren
    Alle React- und Next.js-Pakete müssen auf die von den Maintainern empfohlenen Patch-Versionen aktualisiert werden. Besonderes Augenmerk gilt RSC-relevanten Paketen wie react-server-dom-* sowie Framework-spezifischen Integrationen.
    Wichtig: Teilupdates reichen nicht aus, da mehrere Schwachstellen unterschiedliche Pakete betreffen können.
  2. Einsatz von RSC und Server Actions überprüfen
    Prüfen, ob React Server Components oder Server Actions tatsächlich aktiv genutzt werden. Insbesondere bei Next.js-Anwendungen mit App Router sind entsprechende Endpunkte oft implizit vorhanden, auch wenn sie nicht bewusst eingesetzt werden.
  3. Öffentliche Erreichbarkeit von Endpunkten bewerten
    Analysieren, ob RSC- oder Server-Action-Endpunkte ohne zusätzliche Schutzmechanismen öffentlich erreichbar sind. Falls möglich, sollten diese:
    • durch Authentifizierung abgesichert oder
    • auf interne Nutzung beschränkt werden
      Öffentlich exponierte Endpunkte erhöhen das Risiko gezielter Angriffe erheblich.
  4. Server-Logs rückwirkend prüfen
    Logs sollten mindestens bis Anfang Dezember 2025 zurückgehend geprüft werden. Auffällig sind insbesondere:
    • ungewöhnlich große oder komplexe Requests
    • wiederholte Requests an RSC- oder Server-Action-Endpunkte
    • unerwartete Serverfehler oder Lastspitzen
      Bei Anzeichen einer Ausnutzung sollte von einer möglichen Kompromittierung ausgegangen werden.
  5. Server-Code auf sensible Inhalte überprüfen
    Da eine der Schwachstellen das Abrufen von kompiliertem Code ermöglichte, sollte geprüft werden, ob sensible Informationen wie API-Keys, Zugangsdaten oder interne Logik direkt im Server-Code hinterlegt sind. Falls ja, sind diese als potenziell kompromittiert zu betrachten und zu rotieren.
  6. Monitoring und Update-Prozesse nachschärfen
    Die Vorfälle zeigen, dass sicherheitsrelevante Fixes im RSC-Umfeld kurzfristig nachgebessert werden können. Entwickler sollten sicherstellen, dass:

Einordnung

Die Vorfälle zeigen, dass React Server Components als vergleichsweise junge Technologie neue Angriffsflächen mit sich bringen. Während die kritische RCE-Schwachstelle schnell geschlossen wurde, unterstreichen die weiteren Lücken die Notwendigkeit regelmäßiger Updates und einer bewussten Absicherung serverseitiger React-Funktionalität.

Über den Autor

  • Management Assistant & Projekt Manager

    Ich arbeite als Management Assistant und im Projektmanagement. Dabei halte ich Projekte, Termine und Abläufe zusammen, sorge für klare Kommunikation im Team und bringe gleichzeitig meine kreative Seite bei unseren Newsbeiträgen mit ein.
Ich arbeite als Management Assistant und im Projektmanagement. Dabei halte ich Projekte, Termine und Abläufe zusammen, sorge für klare Kommunikation im Team und bringe gleichzeitig meine kreative Seite bei unseren Newsbeiträgen mit ein.

Weitere Neuigkeiten

Im Fokus der Innovation: Neuste Entwicklungen und spannende Updates

[post_list name='3-projekte']