Eine Sicherheitslücke mit der höchsten Gefahrenstufe wurde in der weit verbreiteten JavaScript-Bibliothek React entdeckt. Die Schwachstelle, bekannt als CVE-2025-55182, ermöglicht es Angreifern, aus der Ferne Schadcode auf betroffenen Servern auszuführen, ohne sich authentifizieren zu müssen. Experten warnen, dass eine massive Ausnutzung unmittelbar bevorstehen könnte, da schätzungsweise 39 Prozent aller Cloud-Umgebungen betroffen sind.
Das React-Entwicklerteam hat bereits Notfall-Patches veröffentlicht und fordert alle Administratoren und Entwickler auf, ihre Systeme umgehend zu aktualisieren. Die Sicherheitslücke betrifft Kernkomponenten, die für serverseitige Funktionen zuständig sind, und stellt somit ein erhebliches Risiko für unzählige Webanwendungen und Dienste dar.
Die wichtigsten Fakten
- Eine kritische Sicherheitslücke (CVE-2025-55182) in React ermöglicht Remote-Code-Ausführung (RCE).
- Die Schwachstelle hat die höchste CVSS-Bewertung von 10.0 erhalten.
- Schätzungen zufolge sind 39 Prozent der Cloud-Umgebungen potenziell gefährdet.
- Entwickler müssen dringend auf die gepatchten Versionen 19.0.1, 19.1.2 und 19.2.1 aktualisieren.
- Experten erwarten eine baldige und weit verbreitete Ausnutzung der Lücke.
Einfallstor mit maximalem Risiko
Die neu entdeckte Schwachstelle befindet sich in den React Server Components, einer Technologie, die es Entwicklern ermöglicht, Teile ihrer Webanwendungen direkt auf dem Server auszuführen. Der Fehler tritt bei der Verarbeitung von Daten auf, die an sogenannte Server-Funktionen gesendet werden. Ein Angreifer kann eine speziell präparierte HTTP-Anfrage senden, die bei der Verarbeitung auf dem Server zur Ausführung von beliebigem Code führt.
Sicherheitsexperten stufen die Lücke als extrem gefährlich ein. Sie erhielt im Common Vulnerability Scoring System (CVSS) eine Bewertung von 10.0 von 10.0 möglichen Punkten. Dieser Wert wird nur für Schwachstellen vergeben, die ohne großen Aufwand aus der Ferne ausgenutzt werden können und maximale Auswirkungen haben, wie etwa die vollständige Übernahme eines Systems.
Was ist React?
React ist eine Open-Source-JavaScript-Bibliothek zur Erstellung von Benutzeroberflächen, die ursprünglich von Meta (ehemals Facebook) entwickelt wurde. Sie ist eine der populärsten Technologien für die Webentwicklung und bildet die Grundlage für unzählige Websites und Anwendungen, darunter Facebook, Instagram, Netflix, Airbnb und Shopify.
Das Ausmaß der Bedrohung
Die Reichweite dieser Sicherheitslücke ist enorm. React ist eine der tragenden Säulen des modernen Internets. Millionen von Entwicklern nutzen die Bibliothek und darauf aufbauende Frameworks wie Next.js, das ebenfalls betroffen ist. Vercel, das Unternehmen hinter Next.js, hat eine eigene Warnung unter der Kennung CVE-2025-66478 herausgegeben.
Analysten des Cloud-Sicherheitsunternehmens Wiz haben die potenziellen Auswirkungen untersucht.
Laut den Daten von Wiz enthalten 39 Prozent aller untersuchten Cloud-Umgebungen Instanzen von Next.js oder React in Versionen, die für diese Schwachstelle anfällig sind. Diese Zahl verdeutlicht das immense Risiko für Unternehmen weltweit.
Betroffen sind konkret die folgenden Pakete in den Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0:
- react-server-dom-webpack
- react-server-dom-parcel
- React-server-dom-turbopack
Auch andere Werkzeuge und Frameworks, die auf diesen Paketen basieren, sind in ihren Standardkonfigurationen verwundbar.
Experten warnen vor bevorstehender Angriffswelle
Sicherheitsforscher sind sich einig: Die Zeit zum Handeln ist knapp. Da die Patches nun öffentlich sind, können Angreifer diese analysieren, um funktionierende Exploits zu entwickeln. Dieser Prozess, bekannt als Reverse Engineering, dauert oft nur wenige Stunden oder Tage.
„CVE-2025-55182 stellt ein großes Risiko für die Nutzer eines der weltweit am weitesten verbreiteten Web-Application-Frameworks dar. Die Ausnutzung erfordert nur wenige Voraussetzungen. Es sollte kein Zweifel daran bestehen, dass eine Ausnutzung in freier Wildbahn unmittelbar bevorsteht, sobald Angreifer beginnen, die nun öffentlichen Patches zu analysieren.“
- Benjamin Harris, Gründer und CEO von watchTowr
Auch andere Experten teilen diese Einschätzung. Stephen Fewer, leitender Forscher bei Rapid7, betonte, dass die Wahrscheinlichkeit hoch sei, dass technische Details und Exploit-Code bald öffentlich verfügbar gemacht werden. „Eine Ausnutzung wird wahrscheinlich bald erfolgen“, so Fewer. „Es ist daher entscheidend, diese Schwachstelle sofort zu patchen.“
Die einfache Ausnutzbarkeit wurde bereits bestätigt. Forscher von Wiz berichteten, dass ihre Tests zur Ausnutzung der Schwachstelle „eine hohe Zuverlässigkeit mit einer Erfolgsquote von nahezu 100 Prozent“ zeigten und zu einer vollständigen Remote-Code-Ausführung genutzt werden konnten.
Sofortiges Handeln ist erforderlich
Die Entdeckung der Lücke erfolgte am vergangenen Samstag durch den Forscher Lachlan Davidson, der sie umgehend an Meta meldete. In einer bemerkenswert schnellen Reaktion arbeiteten Meta und das React-Team zusammen, um innerhalb von nur vier Tagen Notfall-Patches zu entwickeln und bereitzustellen.
Das React-Team hat in seiner Sicherheitswarnung klare Anweisungen gegeben.
Empfohlene Maßnahmen
Administratoren und Entwickler müssen ihre Systeme auf die folgenden sicheren Versionen aktualisieren:
- 19.0.1
- 19.1.2
- 19.2.1
„Wir empfehlen ein sofortiges Upgrade“, heißt es in der offiziellen Mitteilung.
Unternehmen, die Web Application Firewalls (WAF) wie die von Cloudflare nutzen, könnten einen gewissen Schutz genießen, wenn ihr Anwendungsverkehr durch die WAF geleitet wird. Dennoch sollte ein Patch immer die primäre Maßnahme sein, da ein WAF-Schutz umgangen werden kann und keine absolute Sicherheit bietet.
Angesichts der Schwere und der weiten Verbreitung der betroffenen Software ist diese Schwachstelle eine der bedeutendsten des Jahres. Ein schnelles und entschlossenes Handeln ist nun für alle Betreiber von Webanwendungen auf Basis von React unerlässlich, um die Kontrolle über ihre Systeme zu behalten.
