React2Shell: Kritische Sicherheitslücke bedroht Next.js und React-Websites weltweit

08. Dezember 2025

6 Min. Lesezeit

React2Shell: Kritische Sicherheitslücke bedroht Next.js und React-Websites weltweit thumbnail

Foto: ChatGPT

Eine neue Sicherheitslücke erschüttert die React-Community – und diesmal ist es ernst. Die Schwachstelle in React Server Components (RSC), die unter CVE-2025-55182 und CVE-2025-66478 geführt wird, erlaubt Angreifern die Ausführung beliebigen Codes auf betroffenen Servern. Die Folge: kompromittierte Webanwendungen, Krypto-Miner, Offline-Seiten. Und das alles ohne Authentifizierung.

🚨 Was ist passiert?

Am 3. Dezember 2025 veröffentlichte das React-Team Details zu einer gravierenden Remote-Code-Execution-Schwachstelle in den React Server Components. Besonders betroffen: Websites, die auf Next.js basieren – eines der populärsten React-Frameworks im Web. Auch andere Tools wie Vite, Redwood oder Expo sind potenziell verwundbar.

Die Lücke wurde mit der Höchstwertung von 10.0 im CVSS bewertet. Warum? Weil sie ohne Authentifizierung ausgenutzt werden kann, simpel zu implementieren ist und in vielen Fällen zu einer vollständigen Übernahme der Server führt.

🔧 Wer ist betroffen?

Grundsätzlich alle, die React Server Components in Verbindung mit einem Bundler oder Framework verwenden – insbesondere:

Auch wenn du „nur“ eine Landing Page oder ein kleines Projekt mit Next.js am Laufen hast: Du könntest betroffen sein.

Besonders fies: Viele setzen auf gehostete Plattformen und denken, damit sei das Thema Sicherheit automatisch erledigt. Doch genau hier zeigt sich der Vorteil von Self-Hosting. In meinem Artikel "Self-Hosted statt Abo-Falle" erkläre ich, warum ich meine wichtigsten Tools lieber selbst betreibe. Volle Kontrolle über Updates, Daten und Sicherheit – gerade in solchen Fällen ein echter Pluspunkt.

⚠️ Aktive Angriffe laufen bereits

Wenige Stunden nach der Veröffentlichung der Schwachstelle wurden erste Exploits in freier Wildbahn entdeckt. Laut AWS werden diese unter anderem von China-nahen Gruppen genutzt. Sicherheitsforscher bestätigen die Existenz funktionierender Proof-of-Concepts, die in bestimmten Konfigurationen problemlos Systeme kompromittieren.

Aktuell durchkämmt ein Wurm das Internet auf der Suche nach verwundbaren Seiten. Ziel: automatisierte Installation von Krypto-Minern. Auch meine eigene Website wurde auf diese Weise kompromittiert. Erst ging die Seite offline, dann verabschiedete sich das Headless CMS. Beim zweiten Vorfall wurde ich stutzig – und entdeckte in den laufenden Prozessen einen Krypto-Miner, der 100 % CPU beanspruchte.

✅ Was du jetzt tun musst

1 - Version prüfen: Nutzt du Next.js oder React Server Components in den oben genannten Versionen?

2 - Patch einspielen: Updaten auf eine der folgenden Versionen:

  • Next.js: ab 15.0.5 (empfohlen: 15.5.7 oder 16.0.7)
  • React: ab 19.0.1 (empfohlen: 19.2.1)

3 - Website vom Netz nehmen, falls ein Patch nicht sofort möglich ist.

4 - Systeme prüfen: Besonders auf verdächtige Prozesse, hohe CPU-Auslastung, ungewöhnliche Netzwerkaktivitäten.

5 - CDN/WAF-Regeln prüfen: Falls vorhanden, gezielt Regeln gegen bekannte Exploit-Pattern setzen.

⚖️ Warum das so ernst ist

Die Situation erinnert stark an Log4Shell: Eine tief integrierte Komponente, millionenfach im Einsatz, einfach ausnutzbar. Kein Wunder, dass in der Szene schon von "React2Shell" die Rede ist. Anders als bei Frontend-typischen XSS- oder CSRF-Lücken geht es hier um direkten Zugriff auf deine Serverinfrastruktur.

Besonders kritisch: Viele Admins wissen gar nicht, dass RSC im Projekt steckt – zum Beispiel weil sie externe Entwickler beauftragt haben oder sich auf Standardkonfigurationen verlassen. Daher: Jetzt prüfen. Sofort.

🔄 Mein Fazit aus der Praxis

Ich selbst habe die Schwachstelle auf die harte Tour kennengelernt: Zwei meiner VMs wurden kompromittiert. Es lief ein Krypto-Miner, die Seiten waren offline, der Aufwand zur Wiederherstellung war enorm. Zwar waren die Maschinen isoliert, aber die Lektion ist klar: Patchen ist nicht optional.

Stand 8. Dezember 2025 - 00:57 Uhr: Aktuell bin ich mit der Wiederherstellung noch im Gange.

Immerhin: Bei der Gelegenheit konnten gleich ein paar Altlasten und Performance-Bremsen mit behoben werden. Trotzdem hätte ich mir diesen "Frühjahrsputz" lieber anders vorgestellt.

🔎 FAQ zur React2Shell-Sicherheitslücke

Was ist React2Shell? React2Shell ist der inoffizielle Name für eine kritische Sicherheitslücke in React Server Components, ähnlich gravierend wie damals Log4Shell.

Welche Versionen sind betroffen? Next.js bis Version 15.5.6 sowie React Server Components bis Version 19.2.0 (je nach Paket).

Wie finde ich heraus, ob meine Website betroffen ist? Prüfe deine package.json auf betroffene Pakete oder nutze ein automatisiertes Audit-Tool. Auch Logs oder unerklärlich hohe CPU-Auslastung können Hinweise sein.

Was passiert, wenn ich nicht update? Deine Seite könnte von einem Wurm oder Botnetz automatisiert angegriffen und übernommen werden – z. B. zur Installation eines Krypto-Miners.

Kann ein CDN wie Cloudflare helfen? Nur bedingt. Zwar können WAF-Regeln helfen, Exploits zu blocken, aber ein echtes Update ersetzt das nicht. Der letzte Cloudflare-Ausfall hat gezeigt: Auch auf Infrastrukturebene kann mal was schiefgehen.

🔄 TL;DR

  • Kritische RCE-Lücke in React Server Components (CVE-2025-55182 / CVE-2025-66478)
  • Next.js und andere Frameworks wie Vite oder Redwood betroffen
  • Bereits aktive Angriffe durch Wurm / Scanner beobachtet
  • Sofortiges Update dringend erforderlich
  • Auch kleine Websites und Landing Pages sind nicht sicher
  • Vergleichbar mit Log4Shell: Jetzt handeln

Zurück zur Blog-Übersicht

Logo

© Copyrigth 2024 - 2025 Martin-Andree Herz - All rights reserved

Dienstleistungen

WebsitesWebsites KonfiguratorCorporate DesignConsultingSchulungen

Informationen

BlogÜber michReferenzenKontaktTermin buchen

Rechtliches

ImpressumDatenschutzAGBCookies?