![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In den React Server Components gibt es eine kritische RCE-Schwachstelle (CVE-2025-55182) mit einem CVSS-Score von 10.0. Die Schwachstelle hat nicht nur Auswirkungen auf die React Server Components (ein JavaScript-Framework zur Entwicklung von Web-Komponenten), sondern auch auf\u00a0Next.js.<\/p>\n
<\/p>\n
Die kritische Sicherheitsl\u00fccke CVE-2025-55182<\/a> wurde am 29. November 2025 vob Lachlan Davidson gemeldet. In den React Server Components-Versionen 19.0.0, 19.1.0, 19.1.1 und 19.2.0, einschlie\u00dflich der folgenden Pakete: react-server-dom-parcel, react-server-dom-turbopack und react-server-dom-webpack, besteht eine Sicherheitsl\u00fccke hinsichtlich der Ausf\u00fchrung von Remote-Code vor der Authentifizierung. Der anf\u00e4llige Code deserialisiert Payloads aus HTTP-Anfragen an Server-Funktionsendpunkte auf unsichere Weise.<\/p>\n Das React-Team von Facebook hat diesen Hinweis<\/a> zur Schwachstelle ver\u00f6ffentlicht, und im React-Blog gibt es diesen Support-Beitrag<\/a>. In den Versionen 19.0.1<\/a>, 19.1.2<\/a> und 19.2.1<\/a> wurde eine Korrektur zum Schlie\u00dfen der Schwachstelle eingef\u00fchrt.<\/p>\n Entwickler, die eines der oben genannten Pakete verwenden, m\u00fcssen umgehend auf eine der korrigierten Versionen aktualisieren. Problem sind Apps, die entsprechende Pakete auf Servern verwenden. Verwendet der React-Code einer App keinen Server, ist die App von dieser Sicherheitsl\u00fccke nicht betroffen. Wenn eine App kein Framework, Bundler oder Bundler-Plugin verwendet, das React Server Components unterst\u00fctzt, ist diese App von dieser Sicherheitsl\u00fccke ebenfalls nicht betroffen.<\/p>\n Von Ari Eitan, Director of Cloud Security Research bei Tenable, habe ich zu diesem Sachverhalt im Nachgang folgende Einsch\u00e4tzung erhalten.<\/p>\n Die Ausnutzung ist \u00e4u\u00dferst simpel und kann ohne jegliche Authentifizierung erfolgen. Eine einzige b\u00f6sartige HTTP-Anfrage kann eine Remote Code Execution auf Serverseite ausl\u00f6sen, was das Problem extrem gef\u00e4hrlich macht. Zudem f\u00fchrt die Standardkonfiguration der betroffenen Komponenten automatisch zu verwundbaren Anwendungen \u2013 tausende Deployments sind f\u00fcr Angreifer derzeit leichte Beute.<\/p>\n Auch wenn aktuell keine aktive Ausnutzung bekannt ist, kann sich das schnell \u00e4ndern \u2013 und m\u00f6glicherweise bleibt sie wochen- oder monatelang unentdeckt.<\/p>\n Die Folgen w\u00e4ren verheerend: Angreifer k\u00f6nnten beliebigen Code ausf\u00fchren und potenziell die vollst\u00e4ndige Kontrolle \u00fcber den Server des Opfers \u00fcbernehmen, was wiederum zur Kompromittierung sensibler Daten auf breiter Front f\u00fchren k\u00f6nnte.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":" In den React Server Components gibt es eine kritische RCE-Schwachstelle (CVE-2025-55182) mit einem CVSS-Score von 10.0. Die Schwachstelle hat nicht nur Auswirkungen auf die React Server Components (ein JavaScript-Framework zur Entwicklung von Web-Komponenten), sondern auch auf\u00a0Next.js.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-318960","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318960"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318960\/revisions"}],"predecessor-version":[{"id":319002,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318960\/revisions\/319002"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318960"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318960"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}React<\/a> ist eine JavaScript-Programmbibliothek zur Erstellung von webbasierten Benutzeroberfl\u00e4chen. Komponenten werden in React hierarchisch aufgebaut und k\u00f6nnen in dessen Syntax als selbst definierte JSX-Tags repr\u00e4sentiert werden. Das Modell von React verspricht durch die Konzepte des unidirektionalen Datenflusses und des Virtual DOM den einfachen, aber trotzdem performanten Aufbau auch komplexer Anwendungen. React bildet typischerweise die Basis f\u00fcr Single-Page-Webanwendungen, kann jedoch auch mit Node.js serverseitig (vor-)gerendert werden.<\/p>\n
![\"React](\"https:\/\/i.postimg.cc\/y8kY0GsL\/image.png\")
<\/a>
\nObiger Tweet<\/a> weist auf das Problem hin, welches von WIZ am 3. Dezember 2025 hier<\/a> und vom React-Team im Beitrag Critical Security Vulnerability in React Server Components<\/a> offen gelegt wurde. Es gibt eine Sicherheitsl\u00fccke in React Server Components, die eine nicht authentifizierte Remote-Codeausf\u00fchrung (RCE) erm\u00f6glicht.<\/p>\n