{"id":160894,"date":"2025-12-05T03:30:40","date_gmt":"2025-12-05T01:30:40","guid":{"rendered":"https:\/\/jfrog.com\/blog\/2025-55182-and-2025-66478-react2shell-all-you-need-to-know\/"},"modified":"2025-12-05T15:17:12","modified_gmt":"2025-12-05T13:17:12","slug":"2025-55182-and-2025-66478-react2shell-all-you-need-to-know","status":"publish","type":"post","link":"https:\/\/jfrog.com\/de\/blog\/2025-55182-and-2025-66478-react2shell-all-you-need-to-know\/","title":{"rendered":"CVE-2025-55182 und CVE-2025-66478 (\u201eReact2Shell\u201c) \u2013 Alles, was Sie wissen m\u00fcssen"},"content":{"rendered":"

\"React2Shell<\/p>\n

JFrog verfolgt die Entwicklungen rund um React2Shell weiterhin aktiv und stellt laufend Updates unter research.jfrog.com<\/a> bereit.\u00a0<\/em><\/p>\n

\n

Was ist passiert?<\/h2>\n

Die Maintainer von React haben eine scherwiegende Sicherheitsl\u00fccke ver\u00f6ffentlicht <\/a>\u2013 CVE-2025-55182<\/b> (bzw. die korrespondierende CVE-2025-66478<\/b> in Next.js). Die Schwachstelle wurde vom urspr\u00fcnglichen Researcher<\/a> \u201eReact2Shell\u201c<\/strong> genannt, da sie die Ausf\u00fchrung beliebigen Codes durch (m\u00f6glicherweise nicht authentifizierte) entfernte Angreifer erm\u00f6glicht.<\/p>\n

Ein Angreifer kann remote eine speziell gestaltete HTTP-Anfrage an einen beliebigen React Server Function Endpoint<\/strong> senden, die \u2013 sobald sie von React deserialisiert wird \u2013 zur Ausf\u00fchrung beliebigen Codes auf dem Server f\u00fchrt. Die Erfolgsrate der Ausnutzung liegt Berichten zufolge bei Standardkonfigurationen bei nahezu 100\u202f%.<\/strong><\/p>\n

Derzeit existieren keine<\/strong> echten Proof-of-Concept-Exploits f\u00fcr diese Schwachstellen. Einige PoCs wurden zwar auf GitHub ver\u00f6ffentlicht (besonders erw\u00e4hnenswert: dieser hier<\/a>), doch alle bisher bekannten Proof-of-Concepts haben sich als Fake herausgestellt.
\nWir raten Usern dringend davon ab, nicht-vertrauensw\u00fcrdigen PoC-Code auszuf\u00fchren<\/strong> \u2013 solche Projekte enthalten erfahrungsgem\u00e4\u00df h\u00e4ufig b\u00f6sartigen Code.<\/p>\n

Wer ist von React2Shell betroffen?<\/h2>\n

React-Server, die React Server Function Endpoints verwenden<\/h3>\n

Alle React-Server, die Server Function Endpoints nutzen<\/strong> sind nach aktuellem Wissenstand betroffen<\/p>\n

Ob eine React-Server-Anwendung diese anf\u00e4llige Funktionalit\u00e4t nutzt, l\u00e4sst sich \u00fcberpr\u00fcfen, indem man nach der Direktive use server<\/code>; in beliebigen Quellcodedateien der Anwendung sucht. Diese Direktive weist darauf hin, dass eine Server Function<\/a> definiert ist \u2013 und damit potenziell verwundbar.<\/p>\n

Beispiel \u2013<\/span><\/p>\n

async function requestUsername(formData) {\r\n  'use server';\r\n  const username = formData.get('username');\r\n  \/\/ ...\r\n}\r\n\r\nexport default function App() {\r\n  return (\r\n    <form action={requestUsername}>\r\n      <input type=\"text\" name=\"username\" \/>\r\n      <button type=\"submit\">Request<\/button>\r\n    <\/form>\r\n  );\r\n}<\/code><\/pre>\n
React-Server, die React Server Components unterst\u00fctzen<\/h3>\n
Laut der Stellungnahme des React-Teams <\/a>gilt: \u201eSelbst wenn Ihre Anwendung keine React Server Function Endpoints implementiert, kann sie dennoch verwundbar sein, wenn sie React Server Components unterst\u00fctzt.\u201c<\/p>\n
Welche konkreten Bedingungen eine Ausnutzung von CVE-2025-55182 erm\u00f6glichen, wenn React Server Components supported werden, ohne dass Server Function Endpoints verwendet werden, ist derzeit noch unklar.<\/p>\n
Wenn Ihre Anwendung in irgendeiner Weise React Server Components unterst\u00fctzt, sollten Sie dringend die betroffenen Komponenten auf eine der gepatchten Versionen aktualisieren (siehe Tabelle unten).<\/p>\n
Next.js-Webanwendungen, die den App Router verwenden<\/h3>\n
Die wahrscheinlichste Angriffsfl\u00e4che besteht bei Next.js-Webanwendungen (CVE-2025-66478), da diese in der Standardkonfiguration verwundbar sind.<\/p>\n
Wenn Sie zum Beispiel eine neue Next.js-App mit dem Standardbefehl create-next-app<\/code>\u00a0erstellen und dabei die empfohlenen Einstellungen \u00fcbernehmen, wird eine verwundbare Anwendung erzeugt, weil durch diese der Next.js App Router<\/strong> aktiviert wird, der wiederum den Zugriff auf die anf\u00e4lligen React Server Function Endpoints erlaubt.Solche Anwendungen enthalten ein app-Verzeichnis \u2013 ein klares Indiz daf\u00fcr, dass der anf\u00e4llige App Router verwendet wird.<\/p>\n
<\/p>\n
<\/p>\n
Verwundbare Pakete und gepatchte Versionen<\/h3>\n\n\n\n\n\n\n\n\n\n\n
Vulnerable Components<\/th>\nVulnerable Versions<\/th>\nFixed Versions<\/th>\n<\/tr>\n<\/thead>\n
react-server-dom-webpack<\/td>\n19.0.0
\n19.1.0 – 19.1.1
\n19.2.0<\/td>\n		19.0.1
\n19.1.2
\n19.2.1<\/td>\n<\/tr>\n
react-server-dom-parcel<\/td>\n19.0.0
\n19.1.0 – 19.1.1
\n19.2.0<\/td>\n		19.0.1
\n19.1.2
\n19.2.1<\/td>\n<\/tr>\n
react-server-dom-turbopack<\/td>\n19.0.0
\n19.1.0 – 19.1.1
\n19.2.0<\/td>\n		19.0.1
\n19.1.2
\n19.2.1<\/td>\n<\/tr>\n
Next.js<\/td>\n15.0.0 – 15.0.4
\n15.1.0 – 15.1.8
\n15.2.0 – 15.2.5
\n15.3.0 – 15.3.5
\n15.4.0 – 15.4.7
\n15.5.0 – 15.5.6
\n16.0.0 – 16.0.6<\/td>\n		15.0.5
\n15.1.9
\n15.2.6
\n15.3.6
\n15.4.8
\n15.5.7
\n16.0.7<\/td>\n<\/tr>\n
Next.js<\/td>\n14.3.0-canary.77 and later canary versions<\/td>\nDowngrade to the latest stable 14.x release by running\u00a0npm install next@14<\/code><\/td>\n<\/tr>\n
Other Frameworks<\/td>\nAny framework\/library bundling the vulnerable React RSC implementation (e.g., Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK, Waku)<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Wie l\u00e4sst sich React2Shell entsch\u00e4rfen?<\/h2>\n