![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In den React Server Components gibt es eine kritische RCE-Schwachstelle (CVE-2025-55182) mit einem CVSS-Score von 10.0. Das ist seit einigen Tagen bekannt. Nun laufen massive Angriffswellen gegen verwundbare Webseiten und viele Firmenauftritte wurden bereits gehackt.<\/p>\n
<\/p>\n
Vom React-Team gibt es ebenfalls den Beitrag Critical Security Vulnerability in React Server Components<\/a>. Ich hatte hier im Blog im Beitrag Kritische Schwachstelle in React (und Next.js)<\/a> \u00fcber diese Schwachstelle berichtet – scheint aber von den Abrufzahlen wenige Leser zu tangieren.<\/p>\n Inzwischen gibt es eine React2Shell-Webseite<\/a> mit einer FAQ zu diesem Sachverhalt. Anbieter Censys schreibt, dass man 2,15 Millionen Webseiten gefunden habe, die per Web zugreifbar seien und Next.js oder React Server Components verwenden.<\/p>\n Censys hat diesen Artikel<\/a> dazu ver\u00f6ffentlicht.\u00a0Allerdings muss man dazu sagen, dass nicht alle diese Webseiten auch angreifbar sind. Viele React Server Components werden durch die Provider bereits gesch\u00fctzt. Allerdings sind inzwischen Exploits verf\u00fcgbar und die Angriffe laufen.<\/p>\n Es gibt einen in Python geschriebenen React2Shell-Scanner auf GitHub<\/a>, den man aber in einer eigenen Umgebung ausf\u00fchren muss. SearchLight Cyber hat in diesem Beitrag<\/a> einige Details rund um das Thema zusammen getragen.<\/p>\n Anmerkung: Es gibt wohl eine Reihe Proof of Concepts (PoCs), die fehlerhaft sind. Und es gibt React2Shell-Scanner, die Malware enthalten.<\/p><\/blockquote>\n Zum 4. Dezember 2025 meldete AWS<\/a> bereits, dass es gezielte Angriffe auf Webseiten \u00fcber die React2Shell-Schwachstelle gebe. Auch Wiz meldet<\/a>, dass man eine rasante Ausbreitung der Ausnutzung von CVE-2025-55182 sehe, seit der vollst\u00e4ndige Proof-of-Concept-Exploit ver\u00f6ffentlicht wurde. Deren Sensoren haben mehrere Opfer identifiziert, die seit dem 5. Dezember 2025 um 6:00 Uhr UTC kompromittiert wurden, wobei vor allem internetbasierte Next.js-Anwendungen und Kubernetes-Container angegriffen wurden.<\/p>\n The Shadowserver Foundation hat gestern in obigem Tweet<\/a> auf die React2Shell-Angriffe hingewiesen. Auf X sind mir die Tage mehrere Tweets von Leuten, deren Webinstanzen gehackt wurden, untergekommen. Die Kollegen von Bleeping Computer haben im Beitrag\u00a0React2Shell flaw exploited to breach 30 orgs, 77k IP addresses vulnerable<\/a> einen Blick auf das Thema geworfen und berichten von 30 Organisationen, die gehackt wurden. Um die 77.000 IP-Adressen seien verwundbar, hei\u00dft es. In Deutschland sind 216 IP-Adressen in \u00dcbersichten, die ich gesehen habe, aufgef\u00fchrt.<\/p>\nReact<\/a> ist eine JavaScript-Programmbibliothek zur Erstellung von webbasierten Benutzeroberfl\u00e4chen. Allerdings gibt es eine kritische\u00a0RCE-Schwachstelle (CVE-2025-55182<\/a>) in den React Server Components. Diese als React2Shell bezeichnete Schwachstelle erm\u00f6glicht eine nicht authentifizierte Remote-Codeausf\u00fchrung (RCE). Sicherheitsforscher von WIZ haben diese am 3. Dezember 2025 hier<\/a> offen gelegt.<\/p>\n
Zahlreiche Webseiten angreifbar<\/h2>\n
![\"\u00dcber](\"https:\/\/i.postimg.cc\/bvDSQb0m\/image.png\" "\\"\u00dcber")
<\/a><\/p>\nAngriffe auf React Server Components<\/h2>\n
![\"React2Shell-Angriffe\"](\"https:\/\/i.postimg.cc\/FsPj30kN\/image.png\")
<\/p>\n
![\"React2Shell](\"https:\/\/i.postimg.cc\/CxQXPZXp\/image.png\")
<\/a><\/p>\n