CERT Alert - Kritische Sicherheitslücke in React Server Components

Für die React2Shell-Sicherheitslücke ist ein funktionierender Proof-of-Concept-Code (PoC) verfügbar, und es wurde eine aktive Ausnutzung durch mehrere chinesische Bedrohungsgruppen beobachtet. Es ist mit einer weiteren Ausnutzung dieser Sicherheitslücke zu rechnen, da alle Arten von Angreifern versuchen werden, daraus Kapital zu schlagen. 

Das Patchen der Sicherheitslücke muss Priorität haben. Cloud-Umgebungen wie Akamai, Cloudflare, AWS, Google und Fastly haben Web Application Firewall (WAF)-Regeln implementiert, um Ausnutzungsversuche zu blockieren. Diese WAF-Regeln verschaffen den Teams Zeit, um anfällige Anwendungen zu patchen, und dürfen nicht als einzige Verteidigung gegen Angreifer angesehen werden. 

Es wurden mehrere Scanner veröffentlicht, um potenziell anfällige Anwendungen zu identifizieren. Qualys hat spezielle QIDs zum Scannen und Erkennen anfälliger Assets veröffentlicht: 

1. SWCA QIDs: 

• QID 5006447: NodeJs (Npm) Security Update for react-server-dom-parcel (GHSA-fv66-9v8q-g76r)

• QID 5006445: NodeJs (Npm) Security Update for next (GHSA-9qr9-h5gf-34mp)

1. Agent QID: 

• QID 386154: React Server Dom Component NPM Package Remote Code Execution (RCE) Vulnerability 

1. Unauthenticated QID: 

• QID 48336: React Server Processing Flight Protocol Detected 

Orange Cyberdefense bietet seinen Managed Threat Intelligence-Kunden Zugriff auf Indikatoren für Kompromittierungen (IoCs) im Zusammenhang mit dieser Bedrohung, die auch automatisch in unsere Managed Threat Detection-Dienste eingespeist werden. Dies ermöglicht eine proaktive Suche nach IoCs, wenn Sie unsere Threat Hunting-Option im Managed Threat Detection-Dienst abonnieren. Wenn Sie möchten, dass wir diese IoCs bei Ihrer nächsten Suche vorrangig behandeln, reichen Sie bitte eine Anfrage über Ihr Kundenportal ein oder wenden Sie sich an Ihren Kundenbetreuer. 

Unsere Managed Threat Intelligence-Kunden können die IOCs direkt über diese Adresse auf unserer Datalake-Plattform abrufen und nutzen:  

datalake.cert.orangecyberdefense.com/gui/search

Wenn Sie mehr über diesen Managed Service von Orange Cyberdefense erfahren möchten, wenden Sie sich bitte an Ihren Kundenbetreuer.

Sie sind von einem Cybersecurity Incident betroffen, bei dem Sie sofortige Hilfe benötigen?Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.

React: react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

GitHub: github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

Cloudflare: blog.cloudflare.com/waf-rules-react-vulnerability/

Wiz: www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

React2SHell: react2shell.com

GitHub: github.com/assetnote/react2shell-scanner

Ein nicht authentifizierter Angreifer kann möglicherweise eine Remote-Code-Ausführung (RCE) erreichen, indem er Schwachstellen CVE-2025-55182 oder CVE-2025-66478 in React und verwandten Frameworks ausnutzt. Diese Schwachstellen haben die maximale CVSS-Bewertung von 10 und werden als React2Shell bezeichnet. Für die entsprechenden Frameworks React, Next.js und einige abgeleitete Frameworks wurden Korrekturen bereitgestellt.  

Betroffene Produkte sind unter anderem: 

• React-Versionen 19.0 bis 19.2.

• Next.js App Router-Zweige 14.3.0 Canary, 15.x und 16.x.

• Andere Tools zum Bündeln von react-server sind wahrscheinlich ebenfalls betroffen, beispielsweise RedwoodJS, Waku oder die RSC-Plugins für Vite oder Parcel. 

Bitte überprüfen Sie, ob Ihre jeweiligen Frameworks betroffen sind und unter welchen Umständen. 

Cloudflare hat bereits Schutzmaßnahmen für seine Kunden veröffentlicht, um potenzielle Angriffe zu blockieren, wenn die Anwendungen über die jeweiligen Web Application Firewalls (WAF) proxiert werden. 

Es wurden Scanner zur Erkennung betroffener Anwendungen zur Verfügung gestellt. Siehe die externen Links unten.   

Wir gehen davon aus, dass Angreifer schnell handeln werden, um so viele anfällige Hosts wie möglich zu kompromittieren. Die Bereitstellung der Updates mit Korrekturen ist der beste Schutz, aber andere Kontrollmaßnahmen wie WAFs können helfen, Zeit zu gewinnen, bis die Korrekturen bereitgestellt sind. 

Es ist wichtig, die Überwachung von Hosts, die anfällige Anwendungen bereitstellen, zu verstärken, um potenzielle Anzeichen für böswilliges oder unerwünschtes Verhalten zu erkennen. Bitte wenden Sie sich so schnell wie möglich an ein Incident-Response-Team, wenn Sie einen möglichen Angriff vermuten. Angreifer, die möglicherweise mit Ransomware-Gruppen in Verbindung stehen, könnten versuchen, diese Gelegenheit zu nutzen, um Zugriff auf sensible Informationen zu erhalten. 

Unsere Managed Vulnerability Intelligence [watch]-Kunden können die Empfehlung mit allen Details zu dieser Sicherheitslücke direkt unter dieser Adresse auf unserem Threat Defense Center-Portal einsehen:  

https://portal.cert.orangecyberdefense.com/vulns/116971 

React: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

GitHub: https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp

Cloudflare: https://blog.cloudflare.com/waf-rules-react-vulnerability/

Wiz: https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

React2SHell: https://react2shell.com/

GitHub: https://github.com/assetnote/react2shell-scanner