Auch Next.js betroffen: Kritische React-Lücke gefährdet unzählige Serversysteme

Sicherheitsforscher warnen vor einer kritischen Sicherheitslücke in den React Server Components(öffnet im neuen Fenster) (RSC), einem Bestandteil des weit verbreiteten Javascript-Frameworks React. Angreifer können damit aus der Ferne eigenen Code auf anfällige Server schleusen und zur Ausführung bringen. Auch das populäre Framework Next.js ist betroffen. Patches sind verfügbar und sollten dringend eingespielt werden.

Die besagte Sicherheitslücke ist als CVE-2025-55182(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 10 den höchstmöglichen Schweregrad. Das Team von Next.js hat mit CVE-2025-66478(öffnet im neuen Fenster) eine eigene CVE-Kennung vergeben, jedoch handelt es sich dabei um das gleiche Problem. Auch andere Projekte wie Waku(öffnet im neuen Fenster) , RedwoodSDK(öffnet im neuen Fenster) , React Router(öffnet im neuen Fenster) , @‌parcel/rsc(öffnet im neuen Fenster) und @‌vitejs/plugin-rsc(öffnet im neuen Fenster) sind anfällig.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Exclusive: Penetration Testing with Metasploit (E-Learning in English)

zum Kurs

Nach Angaben der Sicherheitsforscher von Wiz(öffnet im neuen Fenster) und Aikido(öffnet im neuen Fenster) basiert die Lücke auf einer "unsicheren Deserialisierung" im Flight-Protokoll des React-Frameworks. Ausnutzen lässt sie sich durch einen speziell gestalteten HTTP-Request, der in einer Codeausführung auf dem Server mündet. Die Forscher konnten den Angriff bei eigenen Tests mit einer Trefferquote von nahezu 100 Prozent reproduzieren.

Dringend patchen

Besonders gefährlich an CVE-2025-55182 ist auch der Umstand, dass die Sicherheitslücke wohl schon in der Standardkonfiguration anfälliger Applikationen wie etwa Next.js-Apps besteht. Hinzu kommt eine hohe Verbreitung: Wie die Wiz-Forscher auf Basis eigener Daten schildern, kommen anfällige Versionen von Next.js oder React in etwa 39 Prozent aller Cloudumgebungen zum Einsatz.

Betroffen sind laut Blogbeitrag des React-Entwicklers(öffnet im neuen Fenster) die RSC-Pakete react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack in den Versionen 19.0.0, 19.1.0, 19.1.1 und 19.2.0. Als gepatcht gelten die Versionen 19.0.1, 19.1.2 und 19.2.1. Für Next.js(öffnet im neuen Fenster) stehen mit den Versionen 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 und 16.0.7 ebenfalls Patches bereit.

Die Entwickler empfehlen eine sofortige Aktualisierung anfälliger Systeme. Hinweise auf eine aktive Ausnutzung von CVE-2025-55182 scheint es zwar noch nicht zu geben, nach Veröffentlichung der Patches dürfte es aber nur noch eine Frage der Zeit sein, bis Angreifer die nötigen Details in Erfahrung bringen und anfällige Systeme ins Visier nehmen.

• Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon