Softwareentwickler, die mit React arbeiten, sollten die JavaScript-Programmbibliothek aus Sicherheitsgründen umgehend auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer eine Schwachstelle ausnutzen und Systeme durch das Ausführen von Schadcode vollständig kompromittieren. Sicherheitsupdates sind verfügbar.
Die Bedrohung
Aus einer Warnmeldung geht hervor, dass React Server Components von der „kritischen“ Lücke (CVE-2025-55182) mit Höchstwertung (CVSS Score 10 von 10) betroffen sind. Die Entwickler geben an, dass die Schwachstelle konkret die folgenden Komponenten der React-Ausgaben 19.0, 19.1.0, 19.1.1 und 19.2.0 bedroht:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Weiterhin führen sie aus, dass wahrscheinlich auch mit React erstellte Apps, die keine React-Server-Funktionen nutzen, verwundbar sind. Allein die Möglichkeit, sie nutzen zu können, reicht für einen möglichen Angriff aus.
Die Entwickler versichern, das Sicherheitsproblem in den Versionen 19.0.1, 19.1.2 und 19.2.1 gelöst zu haben. Die React-Frameworks und Bundler next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc und rwsdk sind ebenfalls verwundbar. Eine Lösung zur Absicherung für diese Fälle wollen die Entwickler nachliefern. Weitere Hinweise zum Ablauf von Updates finden Admins in der Warnmeldung.
Stehen Attacken kurz bevor?
Angriffe sollen aus der Ferne und ohne Authentifizierung möglich sein. Bei der App-Entwicklung können Angreifer im Kontext der Kommunikation zwischen Clients und Servern HTTP-Anfragen manipulieren und letztlich Schadcode ausführen. Weitere Details zur Schwachstelle sollen zu einem späteren Zeitpunkt folgen.
Ein Sicherheitsforscher hat die React-Schwachstelle in Anspielung auf die Log4j-Lücke React2Shell getauft. In einem Beitrag von ihm auf X dazu steht ein Hashwert. Zum jetzigen Zeitpunkt ist unklar, welchen Ursprung dieser Wert hat. Ein Zusammenhang zu einem Proof of Concept Exploit (PoC) liegt nahe. Dagegen spricht aber die Aussage von Tenable-Sicherheitsforschern, dass es derzeit keine Hinweise auf einen PoC zum Attackieren von Instanzen mit Standardkonfigurationen gibt.
(des)
English (US) ·