Trainee Software Development
08 Dec, 2025
Wichtiger Sicherheitshinweis: Kritische React-Server-Components-Schwachstelle
Liebe Kundinnen und Kunden,
das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer kritischen Sicherheitslücke in React Server Components (RSC), die in vielen modernen Web-Frameworks eingesetzt werden – u. a. Next.js, React-Frameworks, Expo, Vite, Parcel, Redwood, Waku und weitere.
Die Schwachstelle ermöglicht laut BSI unauthentifizierte Remote Code Execution (RCE), also die potenzielle Ausführung von beliebigem Code auf betroffenen Servern. Die Bewertung liegt bei CVSS 10.0 – höchste Kritikalität
Was Sie wissen müssen
- Die Sicherheitslücke wird unter den Bezeichnungen React2Shell bzw. CVE-2025-55182 geführt.
- Für Next.js existierte zusätzlich CVE-2025-66478 (inzwischen von der CVE-Stelle zurückgezogen)
- Anwendungen sind nur betroffen, wenn React Server Components (RSC) aktiv verwendet werden und über ein Framework/Bundler eingebunden sind
- AWS und weitere Sicherheitsanbieter melden bereits aktive Ausnutzungsversuche durch verschiedene Akteure. Funktionsfähige Proof-of-Concept-Exploits sind öffentlich verfügbar
Sind Sie betroffen?
Betroffene Versionen laut BSI sind u. a.:
react-server-dom-*: 19.0.0, 19.1.0, 19.1.1, 19.2.0- diverse Framework-Versionen, insbesondere Next.js in weit verbreiteten Releases
Wenn Sie React- oder Next.js-Projekte einsetzen, besteht eine hohe Wahrscheinlichkeit, dass Ihr Projekt Komponenten verwendet, die anfällig sein können.
Schützen Sie Ihr Projekt – jetzt aktualisieren
Das React-Team sowie Framework-Hersteller stellen bereits gepatchte Versionen bereit. Das BSI empfiehlt die sofortige Aktualisierung auf folgende Versionen oder höher
React (RSC-Pakete): 19.0.1, 19.1.2, 19.2.1
Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
Bitte aktualisieren Sie zeitnah Ihre Projekte und überprüfen Sie, ob Ihre Build-Pipelines und Deployments die aktualisierten Pakete tatsächlich ausliefern.
Weitere empfohlene Maßnahmen
- Webanwendungen auf auffälliges Verhalten prüfen (z. B. ungewöhnliche Prozesse, Dateiänderungen, verdächtige Requests)
- Falls möglich: temporär eine Web Application Firewall (WAF) einsetzen, sofern Ihr Anbieter Regeln zur Erkennung dieser Schwachstelle bereitstellt
- Offizielle Advisories der Anbieter verfolgen (React, Next.js, Vercel, Waku usw.)
Wir empfehlen allen Kundinnen und Kunden, diese Hinweise ernst zu nehmen und zeitnah entsprechende Maßnahmen umzusetzen, um mögliche Sicherheitsrisiken zu minimieren. Die Situation entwickelt sich dynamisch, daher sollten Sie Ihre Systeme in den kommenden Tagen besonders aufmerksam beobachten und verfügbare Sicherheitsupdates regelmäßig prüfen.
Vielen Dank für Ihre Aufmerksamkeit.
Mit freundlichen Grüßen
Ihr Team von FameSystems GmbH & Co. KG
Aktuelle Beiträge
-
Wichtiger Sicherheitshinweis: Kritische React-Server-Components-Schwachstelle
Datum: 08 Dec, 2025 -
Frohes Neues Jahr 2025 wünscht Ihnen Ihr Team von FameSystems!
Datum: 31 Dec, 2024 -
FameSystems Discord Server
Datum: 29 Nov, 2024 -
Einführung unserer neuen AMD EPYC 9754 Hochleistungs-Hostsysteme
Datum: 14 Oct, 2024 -
-
FameSystems präsentiert neuen Backup-Server mit Spitzenleistung für alle Kunden!
Datum: 14 Feb, 2024 -
Ein herzliches Dankeschön und die besten Wünsche für das Neue Jahr!
Datum: 01 Jan, 2024 -
Black Friday bei FameSystems: Spare bis zu 60% auf erstklassige Server!
Datum: 19 Nov, 2023 -
Neue FameSystems Startseite: Jetzt noch besser und schneller!
Datum: 09 Sep, 2023 -
Optimierte Ladezeiten und Upgrade Funktion
Datum: 17 Feb, 2023