CVSS 10/10

TI - CVE-2025-55182 - Critical Security Vulnerability in React Server Components

von SOC Austria
3 Min. Lesezeit
10. Dezember 2025

Beschreibung:

Am 3. Dezember 2025 wurde eine kritische Schwachstellen in React (CVE-2025-55182) veröffentlicht. Diese betrifft die Server-Komponente ("RSC") des Javascript-Frameworks und ermöglicht bei Ausnutzung eine unauthentifizierte Remote-Code-Execution auf den betroffenen Systemen.

Die Ausnutzung der Schwachstelle erfolgt hierbei durch einen speziell präparierten HTTP-Request und ist in der Default-Konfiguration der Software möglich. 


Betroffene Systeme:

  • react-server-dom-webpack - 19.0, 19.1.0, 19.1.1, and 19.2.0
  • react-server-dom-parcel - 19.0, 19.1.0, 19.1.1, and 19.2.0
  • react-server-dom-turbopack - 19.0, 19.1.0, 19.1.1, and 19.2.0

 

Behobene Versionen:

  • react-server-dom-webpack - 19.0.1, 19.1.2, and 19.2.1.
  • react-server-dom-parcel - 19.0.1, 19.1.2, and 19.2.1.
  • react-server-dom-turbopack - 19.0.1, 19.1.2, and 19.2.1.

 

Proaktives Scannen der Webserver zur Feststellung einer Verwundbarkeit:

1. Voraussetzungen:

  • Python: Version 3.9 oder höher muss auf dem System installiert sein
  • Pip: muss vorhanden sein. Falls pip fehlt, kann es mit folgendem Befehl nachinstalliert werden:
    python -m ensurepip --upgrade

 2. Erstellen und Aktivieren einer virtuellen Umgebung:

Für die Installation und Ausführung wird empfohlen, in einer virtuellen Python‑Umgebung zu arbeiten, um Konflikte mit Systempaketen zu vermeiden (auf Linux/macOS besonders relevant).

Befehl zum Erstellen:

python -m venv venv

2.1 Aktivieren der virtuellen Umgebung unter Windows (PowerShell):

.\venv\Scripts\activate

2.2 Aktivieren unter Linux/macOS (Bash oder Shell):

source venv/bin/activate  

3. Installation der benötigten Pakete:

In der aktivierten virtuellen Umgebung werden die folgenden Bibliotheken installiert:

pip install "requests>=2.28.0" "tqdm>=4.64.0" "urllib3>=1.26.0" 

4. Durchführung des Scans:

Windows (PowerShell):

Invoke-WebRequest -Uri https://raw.githubusercontent.com/assetnote/react2shell-scanner/refs/heads/master/scanner.py -OutFile scanner.py
python scanner.py -u https://example.com --safe-check --waf-bypass

Linux/macOS (Bash/Shell):

curl -O https://raw.githubusercontent.com/assetnote/react2shell-scanner/refs/heads/master/scanner.py

python scanner.py -u https://example.com --safe-check --waf-bypass

Bitte setzen Sie anstelle von https://example.com die zu prüfende URL des jeweiligen Webservers ein. Der Scan prüft dann gezielt, ob die angewählte Instanz von der Sicherheitslücke betroffen ist.
Falls mehrere Ziele getestet werden sollen, können diese mithilfe von Hostlisten und dem entsprechenden Parameter -l  ausgeführt werden.

Weitere technische Optionen, Beispiel‑Flags und detaillierte Erläuterungen finden Sie im offiziellen Repository:
https://github.com/assetnote/react2shell-scanner

5. Bereinigung nach Abschluss:

Nach erfolgtem Scan sollten die virtuelle Umgebung und das Skript entfernt werden, um die Testumgebung sauber zu halten:

5.1. Deaktivieren der venv: deactivate
5.2. Löschen der Datei scanner.py
5.3. Löschen des Ordners venv 

 

Empfohlene Maßnahmen:

React hat bereits Softwareupdates veröffentlicht, welche die Sicherheitslücke beheben, es wird empfohlen, die betroffene Software schnellstmöglich zu aktualisieren.

Details zum Update von React sowie auch anderer betroffener Frameworks, welche die betroffenen Komponenten mitausliefern, finden sich im Advisory von React: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

 

Einschätzung der Bedrohung:

Die Schwachstelle wurde in den Known Exploited Vulnerabilities Catalog der CISA aufgenommen, dies weist auf eine aktive Ausnutzung der Schwachstelle hin. 

Weiters sind öffentliche POCs für die Schwachstelle verfügbar. 

Die Entwickler:innen von React weisen darauf hin, dass nur Anwendungen verwundbar sind, die auf einem Server laufen und mithilfe eines Frameworks mit React Server Components realisiert wurden. Ein pauschales Sicherheitsrisiko für alle React-Anwendungen ist nicht gegeben.

Aufgrund der besonders großen Verbreitung und der üblichen Exponierung von Webanwendungen ist die Ausnutzung der Schwachstelle für Angreifer sehr attraktiv. Es muss daher mit kurzfristigen und weiten Angriffskampagnen gerechnet werden. 

Eine Möglichkeit um Webapplikationen auf Verwundbarkeit zu überprüfen wird in folgendem Blogeintrag beschrieben: https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/

 

Weitere Hinweise:

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

https://euvd.enisa.europa.eu/vulnerability/EUVD-2025-200983

https://nvd.nist.gov/vuln/detail/CVE-2025-55182

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-304569-1032.pdf?__blob=publicationFile&v=5

 

Sie benötigen Unterstützung?

Unsere  Expert:innen im ACP Systems Operations Center (SOC) stehen Ihnen mit Rat und Tat zur Seite. Teilen Sie uns einfach über nachfolgendes Formular mit, bei welchem Problem wir Ihnen helfen können. 

Ihre Anfrage!

Nächster Blogpost
← TI - Critical Vulnerability in Fortinet FortiWeb
TI - CVE-2022-26134 - Remote Code Execution in Confluence Server and Data Center
CVSS 10/10

TI - CVE-2022-26134 - Remote Code Execution in Confluence Server and Data Center

3. Juni 2022 1 Min. Lesezeit
Update - CVE-2022-26134 - Remote Code Execution in Confluence Server and Data Center
CVSS 10/10

Update - CVE-2022-26134 - Remote Code Execution in Confluence Server and Data Center

7. Juni 2022 1 Min. Lesezeit
CVE-2022-20842 - Cisco Small Business RV Series Routers Remote Code Execution (RCE)
CVSS 10/10

CVE-2022-20842 - Cisco Small Business RV Series Routers Remote Code Execution (RCE)

4. August 2022 1 Min. Lesezeit

Updates for innovators:
Abonnieren Sie unseren Blog.