React2Shell (CVE-2025-55182): RCE in React Server Components & Next.js – Betroffenheit prüfen & Sofortmaßnahmen
Stand: 11. Dezember 2025 – zuletzt aktualisiert
React2Shell (CVE-2025-55182) ist eine kritische Remote-Code-Execution-Schwachstelle in React Server Components und insbesondere in Next.js-App-Router-Setups. Ein einziger, speziell präparierter HTTP-Request kann ausreichen, um beliebigen Code auf Ihrem Server auszuführen – ohne Login, ohne Benutzerinteraktion. [Security Advisory]
Dieser Beitrag ist für Teams gedacht, die schnell entscheiden müssen: Bin ich betroffen? Und wenn ja: Was muss ich heute tun? Sie bekommen eine klare Betroffenheitsprüfung, Sofortmaßnahmen (Patch/Workaround/Detection) und Lessons Learned für Startups & KMU.
Kurz erklärt
React2Shell (CVE-2025-55182) ist eine unauthentifizierte RCE in React Server Components (und damit u.a. in Next.js mit App Router). Angreifer können mit einem Request Code auf dem Server ausführen und anschließend z.B. Secrets, Tokens oder Cloud-Credentials abgreifen.
- Wenn Sie RSC/App Router serverseitig nutzen: als kritisch behandeln und sofort prüfen/patchen.
- Wenn Sie nur SPA im Browser haben: in der Regel nicht direkt betroffen (trotzdem Dependencies prüfen).
TL;DR – die 4 wichtigsten Schritte
- Betroffenheit prüfen: React 19.x + RSC / Next.js App Router?
- Sofort patchen: auf gefixte Versionen aktualisieren. [Security Advisory]
- Rückwirkend prüfen: Logs/WAF/Cloud auf IoCs & ungewöhnliche Requests.
- Falls Verdacht: Secrets rotieren, Systeme isolieren, Incident Response starten.
Hinweis (Stand 11. Dezember 2025): Mehrere Anbieter führen React2Shell als aktiv ausgenutzte Schwachstelle. Behandeln Sie Betroffenheit als kritisch und patchen Sie priorisiert. [Threat Intelligence]
1. React2Shell in 60 Sekunden: Einordnung & Kontext
React2Shell wurde im Kontext der neuen React Server Components bekannt. Das React-Team veröffentlichte koordinierte Advisories und Fixes. [Security Advisory]
Der Vergleich zu Log4Shell kommt nicht von ungefähr: Auch hier kann in bestimmten Setups eine RCE ohne Login möglich sein – und Threat-Intelligence Quellen berichten über aktive Ausnutzung. [Threat Intelligence]
2. Was ist React2Shell (CVE-2025-55182)? Eine Erklärung in einfachen Worten
React2Shell ist eine kritische Schwachstelle im Server-Teil der React Server Components (Flight-Protokoll). Angreifer können präparierte Daten so einspeisen, dass der Server diese am Ende wie Code behandelt. [Deep Dive]
3. Bin ich betroffen? Quick Check in 3 Minuten
Der wichtigste Punkt: Client-only React (SPA im Browser) ist in der Regel nicht direkt betroffen. Kritisch wird es, wenn Ihr Setup serverseitig RSC/SSR nutzt (z.B. Next.js App Router). [Security Advisory]
3.1 Schnelltest per Dependency-Liste
# Im Repo ausführen:
node -v
npm ls next react react-dom react-server-dom-webpack react-server-dom-turbopack react-server-dom-parcel
# Wenn du pnpm/yarn nutzt:
pnpm why next react react-dom
yarn why next react react-dom
3.2 Entscheidungsregel
- Next.js App Router (app/) + serverseitiges Rendering/RSC → als kritisch behandeln.
- Pages Router (pages/) ohne RSC → meist nicht betroffen, trotzdem Updates prüfen.
- Reines React-Frontend (Vite/CRA) ohne SSR → in der Regel nicht betroffen.
4. Wie funktioniert die Lücke technisch?
Technisch wird React2Shell häufig als Form unsicherer Deserialisierung eingeordnet: Der Server verarbeitet strukturierte Daten aus dem Flight-Stream und vertraut an mehreren Stellen dem Format zu sehr. [Deep Dive]
Für die Praxis entscheidend: Die Ausnutzung benötigt keine geheimen Informationen. Ein öffentlich erreichbarer RSC-/Server-Action-Endpunkt kann ausreichen, damit Scanner/Angreifer automatisiert testen. [Use Case]
5. Betroffene Frameworks & Versionen
Betroffen ist primär der Server-Anteil von React 19 und Frameworks, die RSC in bestimmten Versionen integrieren. [Security Advisory]
5.1 React / React Server Components
-
Besonders relevant sind RSC-Pakete wie
react-server-dom-webpack,react-server-dom-parcel,react-server-dom-turbopackin betroffenen Releases. - Nutzen Sie die offiziellen Advisories/Release-Zweige für die gefixten Versionen. [Security Advisory]
5.2 Next.js
Besonders relevant: Next.js mit App Router. Prüfen Sie Ihre Version und patchen Sie gemäß den Security-Guides. [Mitigation Guide]
6. Typische Angriffsszenarien
In der Praxis sehen wir häufig: Erstzugriff → Secrets/Env auslesen → Cloud-Pivoting → Persistenz. Das Risiko betrifft damit nicht nur die App, sondern oft die gesamte Plattform. [Threat Intelligence]
- Recon & Secrets: Auslesen von
process.env,.env, Configs. [Use Case] - Cloud Pivoting: Zugriff auf Cloud-Ressourcen mit Tokens/Keys. [Deep Dive]
- Supply Chain: npm/Git/Registry-Tokens missbrauchen. [Deep Dive]
7. Erkennung & Indicators of Compromise (IoCs)
Da Exploits über reguläre HTTP-Requests laufen, ist Detection nicht immer trivial. Achten Sie auf Muster in HTTP/WAF-Logs und auf ungewöhnlichen Egress-Traffic. [Mitigation Guide]
7.1 Schnelle Checks
- Spike an POST-Requests zu RSC/Action-Endpunkten, ungewöhnliche Bodies, 5xx-Spitzen
- Unbekannte ausgehende Verbindungen (IP/DNS), ggf. lange/auffällige DNS-Hostnames
- Neue Prozesse/Binaries in
/tmp,/dev/shm, auffällige CPU-Last
8. Sofortmaßnahmen & Patch-Strategie
Für kleine Teams zählt jetzt vor allem Priorisierung: Betroffene Systeme patchen, dann rückwirkend prüfen, dann Prozesshärtung. [Mitigation Guide]
Sofort-Checkliste (praktisch)
- Versionen & Deployments inventarisieren (Prod + Staging/Preview)
- Frameworks patchen (React/RSC + Next.js)
- Logs seit Anfang Dezember prüfen (HTTP/WAF/Cloud/CI)
- Bei Verdacht: Secrets/Keys rotieren, IR starten, Scope klären
8.1 Beispiel: Update pragmatisch ausrollen
# Beispiel: Next.js/React aktualisieren (Versionen an eure Advisories anpassen)
npm install next@latest react@latest react-dom@latest
# Clean rebuild
rm -rf node_modules .next
npm install
npm run build
9. Lessons Learned für Startups & KMU
React2Shell ist ein Reminder: Dependency-Security ist Business-kritisch. Wer Updates, Ownership und Monitoring etabliert, reduziert Risiko massiv — ohne Over-Engineering. [Use Case]
| Lesson | Pragmatische Umsetzung |
|---|---|
| Updates sind ein Prozess | Fixe Update-Slots (z.B. wöchentlich), klare Ownership, CI-Checks |
| Monitoring ist Pflicht | HTTP/WAF-Logs + Cloud-Audit + Egress-Überwachung (mindestens Baseline) |
| Incident Rollen vorher klären | Wer patcht? Wer entscheidet? Wer kommuniziert? (auch bei kleinen Teams) |
10. Häufige Fragen zu React2Shell
10.1 Sind wir betroffen, wenn wir nur eine React-Frontend-App haben?
Wenn Ihre Anwendung ausschließlich im Browser rendert und keine React Server Components oder Fullstack-Frameworks wie Next.js einsetzt, sind Sie in der Regel nicht direkt betroffen. Nutzen Sie jedoch SSR- oder Fullstack-Features, ist eine genaue Prüfung Pflicht. [Explainer]
10.2 Reicht es, eine WAF-Regel zu aktivieren?
WAF-Regeln können temporär helfen, ersetzen aber nicht das Einspielen der Patches. Ein Update auf eine nicht verwundbare Version ist der einzige nachhaltige Fix. [Threat Intelligence]
10.3 Müssen wir unsere Kund:innen aktiv informieren?
Das hängt davon ab, ob es Hinweise auf eine Kompromittierung und einen Datenabfluss gibt. Ohne solche Hinweise genügt oft eine interne Dokumentation. Bei konkreten Anzeichen können gesetzliche Meldepflichten greifen – holen Sie im Zweifel Rechtsberatung ein.
10.4 Wie können wir uns besser auf die nächste -Shell vorbereiten?
Abonnieren Sie Advisories, nutzen Sie SCA in allen Repos, planen Sie feste Update-Fenster und definieren Sie Ownership. Ein Security-Champion im Dev-Team hilft enorm – auch bei wenig Zeitbudget. [Use Case]
11. Quellen & weiterführende Links
Offizielle Advisories, technische Deep Dives und Mitigation-Guides rund um React2Shell.
Critical Security Vulnerability in React Server Components (CVE-2025-55182)
React Team, 3. Dezember 2025
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React2Shell (CVE-2025-55182): Critical React Vulnerability
Wiz Research, 2025
https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
China-nexus cyber threat groups rapidly exploit React2Shell vulnerability
AWS Security Blog, 2025
https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/
React2Shell RCE (CVE-2025-55182) & Next.js (CVE-2025-66478) – Analysis
Tenable, 2025
https://www.tenable.com/blog/react2shell-cve-2025-55182-react-server-components-rce
React2Shell (CVE-2025-55182) – Projektseite & FAQ
React2Shell Projekt, 2025
https://react2shell.com/
Exploitation Activity Ramps Up Against React2Shell
Dark Reading, 2025
https://www.darkreading.com/vulnerabilities-threats/exploitation-activity-ramps-react2shell
After React2Shell: Following the Attacker From Access to Impact
Logpoint, 2025
https://logpoint.com/en/blog/after-react2shell-following-the-attacker-from-access-to-impact
React2Shell (CVE-2025-55182): Detection & Mitigation Guide – UPDATED
JFrog, 2025
https://jfrog.com/blog/2025-55182-and-2025-66478-react2shell-all-you-need-to-know/
React2Shell CVE-2025-55182: What it is and what to do
Dynatrace, 2025
https://www.dynatrace.com/news/blog/cve-2025-55182-react2shell-critical-vulnerability-what-it-is-and-what-to-do/
Wie wir helfen können
Wenn Sie unsicher sind, ob Ihr Setup betroffen ist oder wenn Sie Logs/Cloud/CI sauber prüfen wollen: Wir machen das pragmatisch, ohne Over-Engineering.
Weitere Artikel finden Sie in der Blog-Übersicht.
Sie möchten diese Schritte auf Ihr Unternehmen übertragen?
In einem kurzen Gespräch klären wir, welche Maßnahmen für Sie konkret sinnvoll sind – ohne Over-Engineering.