React2Shell (CVE-2025-55182): Schwachstelle bleibt gefährliches Einfallstor

Thomas Boele Thomas Boele,   Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Experte
React2Shell (CVE-2025-55182): Schwachstelle bleibt gefährliches Einfallstor. Die Hintergründe.

React2Shell (CVE-2025-55182): Schwachstelle bleibt gefährliches Einfallstor. Die Hintergründe.

Anfang Dezember 2025 gab das Team hinter „React“ – der am weitesten verbreiteten Technologie für heutige Websites und digitale Dienste – eine kritische Sicherheitslücke in einer seiner neuen Server-Funktion bekannt. Sicherheitsforscher nennen diesen Fehler „React2Shell“ und stufen ihn mit CVSS 10.0 als höchst kritisch ein, da er es Fremden ermöglicht, Code auf einem Server auszuführen, ohne sich anzumelden. Der Hacker muss lediglich eine spezielle Anfrage senden. Kein Passwort, kein Benutzerkonto, keine Benutzerinteraktion ist notwendig.

Zusammenfassung (TL; DR):

  • Anfang Dezember 2025 gab das Team hinter „React“ – der am weitesten verbreiteten Technologie für heutige Websites und digitale Dienste – eine kritische Sicherheitslücke in einer seiner neuen Server-Funktion bekannt.
  • Eine Website, die React Server Components verwendet, kann versehentlich das Backend für eine Übernahme offenlegen, wenn dieser Fehler nicht behoben wurde – auch ohne die zusätzlichen Server-Funktionen
  • Eine schwerwiegende und weit verbreitete Schwachstelle auf Framework-Ebene wie React2Shell betrifft nicht nur einzelne Anwendungen, sondern kann auch Auswirkungen auf die gesamte Internet-Infrastruktur haben.

So funktioniert es (in einfachen Worten):

  • Normalerweise verpackt „React“ eine Anfrage, die ein Browser an eine React-basierte Website stellt, und sendet sie an den Server. Der Server decodiert und verarbeitet die Anfrage.
  • Mit diesem Bug wird dieser Decodierungsprozess jedoch unterbrochen. Wenn jemand eine speziell gestaltete bösartige Anfrage erstellt, könnte der Server sie so decodieren, dass der Angreifer beliebigen Code einschleusen und ausführen kann und somit die vollständige Kontrolle über den Server erhält.
  • Entscheidend ist dabei, dass dies ohne Anmeldung oder Interaktion eines echten Benutzers geschehen kann.

Mit anderen Worten: Eine Website, die React Server Components verwendet, kann versehentlich das Backend für eine Übernahme offenlegen, wenn dieser Fehler nicht behoben wurde – auch ohne die zusätzlichen Server-Funktionen.

In der Praxis

Man nehme eine kundenorientierte Web-Anwendung, beispielsweise eine Plattform, die Anmeldungen bearbeitet, Reisebuchungen abwickelt, Versicherungsansprüche verwaltet, Patiententermine bucht oder digitale Bankdienstleistungen anbietet. Solche Plattformen laufen häufig auf Frameworks, die mit React erstellt wurden.

Mithilfe von React2Shell kann ein Angreifer:

  • Vollständigen Zugriff auf den Anwendungsserver erlangen.
  • Übermittelte Kundendaten abfangen.
  • Gefälschte Transaktionen einfügen, Datensätze ändern oder Dienste herunterfahren.
  • Sensible Informationen, wie personenbezogene Daten, Kontodaten oder interne Geschäftslogik stehlen.
  • Den kompromittierten Server nutzen, um tiefer in die Unternehmensumgebung vorzudringen.

Kurz gesagt: Eine kundenorientierte Erfahrung, auf die man sich in Bezug auf Umsatz, Markenvertrauen und den täglichen Betrieb verlässt, könnte unbemerkt übernommen werden.

Dies ist kein theoretisches Risiko, denn React steht im Mittelpunkt moderner digitaler Customer Journeys in allen Branchen. Wenn die Grundlage einen Fehler aufweist, hat dies weitreichende Auswirkungen auf das Unternehmen.

Betroffen sind alle Web-Anwendungen, die mit React (Version 19.x) erstellt wurden, sowie alle Frameworks, die auf React Server Components basieren. Zu den wichtigsten betroffenen Komponenten gehören:

  • React 19 mit serverseitiger Funktionalität.
  • Next.js 15.x oder 16.x (weit verbreitet für moderne digitale Plattformen).
  • Andere neue Frameworks, die auf React-Serverkomponenten basieren.

Wenn eine Anwendung aber React nur auf der Client-Seite verwendet (d. h., wenn sie vollständig im Browser ausgeführt wird), oder wenn man keine der RSC-fähigen Tools/Bundler verwenden, dann ist man nicht betroffen.

Die technische Krux der Dependencies

Die besondere Brisanz von React2Shell liegt nicht nur in der Schwere der Schwachstelle selbst, sondern in der Art und Weise, wie moderne Web-Anwendungen heutzutage aufgebaut sind.

React wird in der Praxis kaum isoliert eingesetzt. Stattdessen ist es Teil eines komplexen Abhängigkeitsgeflechts aus Frameworks, Build-Werkzeugen, Server-Laufzeiten und Bibliotheken. Darin aber besteht das eigentliche Risiko, denn:

Die Schwachstelle sitzt nicht ausschließlich im Kern von React, sondern in den sogenannten React Server Components (RSC) – genauer gesagt in zusätzlichen Paketen wie react-server-dom-*, die für die server-seitige Verarbeitung, Serialisierung und Deserialisierung von Anfragen verantwortlich sind. Diese Komponenten werden häufig automatisch durch Frameworks oder Bundler eingebunden, ohne von den Entwicklern zu erfordern, sie explizit zu konfigurieren oder diesen Vorgang überhaupt wahrzunehmen.

Das bedeutet konkret: Ein Entwickler kann React korrekt aktualisieren, während im Hintergrund weiterhin eine verwundbare Version einer RSC-Abhängigkeit geladen wird. In diesem Fall bliebe die Anwendung trotz Update angreifbar.

Viele populäre Frameworks – etwa Next.js – verkapseln React Server Components tief in ihrer Architektur. Auch Build-Tools und Bundler integrieren diese Funktionalität über Plugins oder interne Module. Dadurch entstehen sogenannte transitive Abhängigkeiten: Abhängigkeiten, die nicht direkt im Projekt definiert sind, sondern indirekt über andere Pakete eingebunden werden.

Diese Abhängigkeitsketten haben drei sicherheitsrelevante Konsequenzen:

  • Ein einzelnes Update reicht nicht aus: Das Aktualisieren von React allein behebt die Schwachstelle nicht, wenn zugehörige RSC-Pakete oder Framework-Komponenten weiterhin eine verwundbare Version verwenden.
  • Frameworks bestimmen den Patch-Zeitpunkt: Sogar sicherheitsbewusste Teams sind darauf angewiesen, dass Framework-Anbieter ihre Integrationen aktualisieren. Bis dahin bleibt ein Zeitfenster bestehen, währenddessen Anwendungen trotz bekannter Schwachstelle exponiert sind.
  • Versteckte Risiken durch transitive Dependencies: Entwickler haben oft keine direkte Kontrolle über diese Abhängigkeiten. Ohne gezielte Analyse des gesamten Dependency-Baums bleibt unklar, ob eine Anwendung tatsächlich vollständig gesichert ist.

React2Shell ist damit ein klassisches Beispiel für ein modernes Supply-Chain-Risiko auf Applikationsebene: Nicht der eigene Code ist fehlerhaft, sondern ein Baustein tief im Software-Stack – mit potenziell verheerenden Auswirkungen.

Genau deshalb ist die weit verbreitete Annahme „Wir haben React aktualisiert, also sind wir geschützt“ sehr gefährlich. Cyber-Sicherheit entsteht nur durch ein vollständiges Verständnis der verwendeten Frameworks, ihrer Abhängigkeiten und der tatsächlichen Laufzeitpfade im Backend.

Auswirkungen

Die Schwachstelle ist „Zero-Click“: Es sind weder Benutzeraktionen noch Anmeldedaten erforderlich. Angreifer müssen lediglich eine manipulierte HTTP-Anfrage senden. Das macht es sehr einfach, Angriffe zu automatisieren und zu skalieren.

Viele Websites und Cloud-Anwendungen basieren auf React + Next.js (oder ähnlichen Frameworks). Das bedeutet, dass ein großer Teil der modernen Web-Anwendungen standardmäßig anfällig sein könnte, selbst wenn sich die Entwickler nicht ausdrücklich für „Server-Funktionen“ entschieden haben.

Aus all diesen Gründen löste die Veröffentlichung dieser Sicherheitslücke einen Ansturm unter Infrastruktur- und Web-Sicherheitsanbietern aus, um Anwendungen zu schützen – unabhängig davon, ob die Entwickler die Lücke bereits geschlossen haben oder nicht.

Was Sie jetzt tun sollten, wenn Sie React-Apps warten

  • Überprüfen Sie, ob das Unternehmen gefährdet ist: Arbeiten Sie mit IT- und Anwendungs-Teams zusammen, um zu prüfen, ob kundenorientierte Anwendungen die anfälligen Komponenten verwenden.
  • Installieren Sie sofort Patches, falls das Unternehmen anfällig ist: Patches sind verfügbar und sollten vorrangig installiert werden.
  • Verstärken Sie den Unternehmens-Perimeter während der Einführung: Sogar Teams mit ausreichenden Ressourcen können Patches nicht immer sofort installieren. In solchen Fällen sind externe Schutzmaßnahmen, wie WAF, besonders wichtig.

Weshalb Präventionssicherheit so wichtig ist

Am 5. Dezember 2025 führte Cloudflare eine Notfallmaßnahme durch, um auf diese weit verbreitete kritische Sicherheitslücke zu reagieren. Dabei kam es jedoch zu einer Änderung in der Art und Weise, wie die Web Application Firewall von Cloudflare Anfragen analysierte. Dies führte zu unbeabsichtigten Störungen. Diese Fehlkonfiguration löste einen weltweiten Ausfall aus. Viele Websites fielen mit 500 Internal Server Errors aus. Cloudflare stellte später klar, dass der Ausfall nicht auf einen externen Angriff zurückzuführen war, sondern durch den Notfall-Patch für „React2Shell“ selbst ausgelöst wurde.

Dies unterstreicht einen grundlegenden Punkt: Eine schwerwiegende und weit verbreitete Schwachstelle auf Framework-Ebene wie React2Shell betrifft nicht nur einzelne Anwendungen, sondern kann auch Auswirkungen auf die gesamte Internet-Infrastruktur haben. Eine breite Einführung von Patches, eine robuste, mehrschichtige Verteidigung (wie eine Web Application Firewall, kurz WAF) und sorgfältige Rollout-Prozesse sind daher unerlässlich.

Aus diesem Grund betonen wir die Bedeutung eines präventionsorientierten Sicherheitsansatzes. Während viele Unternehmen sich bemühten, Patches zu installieren, und einige Infrastrukturanbieter Störungen erlebten, waren Kunden, die beispielsweise CloudGuard WAF verwendeten, von den React2Shell-Exploit-Versuchen nicht betroffen.

Dies hat folgende Gründe:

  • Die Engine führt eine vollständige Dekodierung komplexer HTTP-Body-Daten durch.
  • Sie erkennt abnormale Anforderungsmuster im Zusammenhang mit Deserialisierung und RCE.
  • Sie blockiert automatisch bösartige Payloads, noch bevor eine CVE-spezifische Regel existiert.
  • Bei internen Tests blockierte die WAF öffentliche React2Shell-Proof-of-Concept-Exploits erfolgreich, ohne weitere Anpassungen und manuelle Eingriffe erforderlich zu machen oder Notfall-Updates und Signaturen.

Um diese noch stärker zu machen, kann man nun spezielle, ergänzende Schutzmaßnahmen hinzufügen, die für den Datenverkehr von React Server Components optimiert worden sind. Dazu gehören neue Angriffsindikatoren, die in unsere zentrale ML-Engine integriert sind, sowie eine zusätzliche IPS-Regel. Diese sorgt für noch mehr Sicherheit und bewahrt gleichzeitig unsere branchenweit führenden, niedrigen Falsch-Positiv-Raten.

Zur aktuellen Exploit-Lage: React2Shell wird aktiv ausgenutzt

Seit der Veröffentlichung von React2Shell handelt es sich nicht mehr um ein rein theoretisches Risiko oder um vereinzelte Proof-of-Concept-Exploits, denn Sicherheitsforscher und große Cloud- sowie Plattformanbieter beobachten mittlerweile eine aktive Ausnutzung der Schwachstelle in realen Angriffskampagnen.

Laut jüngsten Berichten der Threat-Intelligence-Community – unter anderem von Microsoft – wurden bereits mehrere hundert Systeme erfolgreich kompromittiert. Angreifer nutzen React2Shell, um unmittelbar nach der initialen Ausnutzung verschiedenen Schad-Code auf den betroffenen Servern auszuführen.

Dabei handelt es sich nicht um einfache Tests oder Scans, sondern um echte Post-Exploitation-Aktivitäten, darunter:

  • Installation von Malware und Backdoors zur dauerhaften Kontrolle kompromittierter Systeme.
  • Vorbereitung und Ausführung von Ransomware-Angriffen.
  • Missbrauch kompromittierter Server für weitere Angriffe, etwa zur lateralen Bewegung in Unternehmensnetzen oder als Ausgangspunkt für weitere Kampagnen.

Die Angriffe werden häufig in regulären Web-Traffic eingebettet. Dabei sehen die schädlichen Anfragen auf den ersten Blick wie legitime HTTP-Requests aus, was klassische Erkennungsmechanismen erheblich erschwert. Genau diese Tarnung macht React2Shell für Angreifer besonders attraktiv.

Die beobachteten Angriffe zeigen zudem, dass Anwendungen, denen aktuelle Patches fehlen, sehr schnell identifiziert und automatisiert ausgenutzt werden. Öffentliche Web-Anwendungen, die React Server Components verwenden und direkt aus dem Internet erreichbar sind, stehen dabei besonders im Fokus.

Fazit

Eines ist klar: React2Shell ist kein hypothetisches Szenario, sondern eine akute Schwachstelle, die derzeit aktiv ausgenutzt wird – mit realen Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit von Anwendungen und Daten. Abwehren lässt sich diese Cyber-Attacke am besten durch Prävention, wozu auch ein sauberes und regelmäßiges Patch-Management gehört, um alle Anwendungen auf dem jüngsten Stand der Bedrohungslage zu halten. Daneben sind all jene nicht betroffen, deren Sicherheitslösungen aufgrund technischer Feinheiten in der Lage sind bösartige Payloads zu erkennen und zu blockieren, bevor überhaupt eine CVE-Regel existiert.

Autoren

Zurück zu allen Artikeln

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren

Interaktive Listen -Icon IT-Sicherheit
Interaktive Listen
Finden Sie den passenden Ansprechpartner – von IT-Notfällen bis juristischer Unterstützung. Entdecken Sie spezialisierte IT-Sicherheitsdienstleistungen!
Anbieterverzeichnis - Map Pin IT-Sicherheit
Anbieterverzeichnis
Im Anbieterverzeichnis finden Sie die passenden IT-Sicherheitsdienstleistungen – von Beratung bis spezialisierte Services. Jetzt Lösungen entdecken!
Beiträge Icon IT-Sicherheit
Schwerpunkt IT-Sicherheit

Nehmen Sie Platz auf unserer ITS-Couch! Hier erhalten Sie Podcasts & Videos rund um das Thema IT-Sicherheit. Besonders, wenn es mal schnell gehen muss!