In der Nacht auf den 3. Dezember 2025 wurde eine kritische Schwachstelle (CVE-2025-55182) in React Server Components (RSC) veröffentlicht, die die Web-Entwicklungsgemeinschaft in Alarmbereitschaft versetzt. Mit einem CVSS-Score von 10.0 (kritisch) ermöglicht diese Lücke Angreifern, ohne Authentifizierung Schadcode auf betroffenen Servern auszuführen. Für Unternehmen, die moderne React-Frameworks wie Next.js einsetzen, besteht akuter Handlungsbedarf.

Was ist passiert?

Sicherheitsforscher haben eine gravierende Lücke in der Art und Weise entdeckt, wie React Server Components Daten verarbeiten. Die Schwachstelle, geführt unter CVE-2025-55182 (für React) und CVE-2025-66478 (für Next.js), betrifft das sogenannte “Flight”-Protokoll – den Mechanismus, den React nutzt, um Daten zwischen Server und Client zu serialisieren. Das Kernproblem liegt in einer unsicheren Deserialisierung. Ein Angreifer kann eine speziell präparierte HTTP-Anfrage an einen Server senden, der React Server Components nutzt. Aufgrund fehlender Validierung wird dieser bösartige Payload vom Server verarbeitet, was zu einer Remote Code Execution (RCE) führt. Das bedeutet: Ein Angreifer kann die volle Kontrolle über den Server übernehmen, sensible Daten exfiltrieren oder weitere Angriffe im internen Netzwerk starten – und das alles, ohne sich vorher anmelden zu müssen.

Wer ist betroffen?

Die Schwachstelle betrifft primär Anwendungen, die auf React 19 basieren und Server Components nutzen. Besonders verbreitet ist dies im Umfeld von Next.js, aber auch andere Frameworks und Bundler sind betroffen, sofern sie die anfälligen React-Pakete einbinden. Konkret sind folgende Versionen der React-Pakete (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack) verwundbar:

• 19.0.0
• 19.1.0 bis 19.1.1
• 19.2.0

Im Kontext von Next.js sind insbesondere Versionen ab 15.x sowie neuere Canary-Builds der Version 14 betroffen.

Hinweis: Auch wenn Ihre Anwendung keine expliziten “Server Functions” nutzt, kann sie allein durch die Unterstützung von React Server Components im Tech-Stack angreifbar sein.

Was Sie jetzt tun müssen

Da Exploit-Code wahrscheinlich bald verfügbar sein wird (oder bereits ist), ist Zeit ein kritischer Faktor. Wir empfehlen folgende Sofortmassnahmen:

1. Identifikation: Prüfen Sie umgehend, ob Ihre Projekte die betroffenen Pakete oder Frameworks (wie Next.js) einsetzen. Die Security Experten von Redguard haben den Scanner von Assetnote zum Zeitpunkt des Commits 5e69f6e4c9f9b854dd93b3667f842001dd37fea6 geprüft und können sowohl die Zuverlässigkeit wie auch, dass sich darin kein schadhafter Code befindet bestätigen. Wir empfehlen diesen, um die eigenen Applikationen auf Verwundbarkeit im Rahmen der Schwachstelle zu prüfen.
2. Patching: Aktualisieren Sie React und Next.js auf die gepatchten Versionen. React: Update auf Version 19.0.1, 19.1.2 oder 19.2.1. Next.js: Nutzen Sie die neuesten Patch-Releases (z.B. 15.0.5, 15.1.9 etc. gemäss offiziellem Advisory).
3. Rebuild und Redeploy: Da es sich um Build-Time-Dependencies handelt, reicht ein einfaches Update der package.json oft nicht aus. Stellen Sie sicher, dass Sie Ihre Anwendung neu bauen (Rebuild) und die Artefakte (Docker-Container, Serverless Functions) neu deployen.
4. WAF-Regeln: Nutzen Sie Web Application Firewalls (WAF), um verdächtige Payloads temporär zu blockieren, bis alle Systeme gepatcht sind. Cloud-Provider wie Vercel oder Google Cloud Armor haben bereits Regeln implementiert. https://cloud.google.com/blog/products/identity-security/responding-to-cve-2025-55182

Fazit und Einordnung

Dieser Vorfall verdeutlicht erneut, wie fragil die moderne Software-Supply-Chain sein kann. Eine Schwachstelle in einer so zentralen Bibliothek wie React hat weitreichende Konsequenzen.

Für Unternehmen bedeutet dies:

• Asset Inventory: Nur wer seine Software-Komponenten kennt, kann schnell reagieren.
• Schnelle Reaktionsprozesse: Ein definierter Incident-Response-Prozess für kritische Patches ist unerlässlich.

Haben Sie Fragen zur Absicherung Ihrer Webapplikationen oder benötigen Sie Unterstützung bei der Einschätzung des Risikos? Unser Team bei Redguard steht Ihnen mit Expertise in Applikationssicherheit und Incident Response zur Seite.