In den React Server Components gibt es eine kritische RCE-Schwachstelle (CVE-2025-55182) mit einem CVSS-Score von 10.0. Die Schwachstelle hat nicht nur Auswirkungen auf die React Server Components (ein JavaScript-Framework zur Entwicklung von Web-Komponenten), sondern auch auf Next.js.
React ist eine JavaScript-Programmbibliothek zur Erstellung von webbasierten Benutzeroberflächen. Komponenten werden in React hierarchisch aufgebaut und können in dessen Syntax als selbst definierte JSX-Tags repräsentiert werden. Das Modell von React verspricht durch die Konzepte des unidirektionalen Datenflusses und des Virtual DOM den einfachen, aber trotzdem performanten Aufbau auch komplexer Anwendungen. React bildet typischerweise die Basis für Single-Page-Webanwendungen, kann jedoch auch mit Node.js serverseitig (vor-)gerendert werden.
Obiger Tweet weist auf das Problem hin, welches von WIZ am 3. Dezember 2025 hier und vom React-Team im Beitrag Critical Security Vulnerability in React Server Components offen gelegt wurde. Es gibt eine Sicherheitslücke in React Server Components, die eine nicht authentifizierte Remote-Codeausführung (RCE) ermöglicht.
Die kritische Sicherheitslücke CVE-2025-55182 wurde am 29. November 2025 vob Lachlan Davidson gemeldet. In den React Server Components-Versionen 19.0.0, 19.1.0, 19.1.1 und 19.2.0, einschließlich der folgenden Pakete: react-server-dom-parcel, react-server-dom-turbopack und react-server-dom-webpack, besteht eine Sicherheitslücke hinsichtlich der Ausführung von Remote-Code vor der Authentifizierung. Der anfällige Code deserialisiert Payloads aus HTTP-Anfragen an Server-Funktionsendpunkte auf unsichere Weise.
Das React-Team von Facebook hat diesen Hinweis zur Schwachstelle veröffentlicht, und im React-Blog gibt es diesen Support-Beitrag. In den Versionen 19.0.1, 19.1.2 und 19.2.1 wurde eine Korrektur zum Schließen der Schwachstelle eingeführt.
Entwickler, die eines der oben genannten Pakete verwenden, müssen umgehend auf eine der korrigierten Versionen aktualisieren. Problem sind Apps, die entsprechende Pakete auf Servern verwenden. Verwendet der React-Code einer App keinen Server, ist die App von dieser Sicherheitslücke nicht betroffen. Wenn eine App kein Framework, Bundler oder Bundler-Plugin verwendet, das React Server Components unterstützt, ist diese App von dieser Sicherheitslücke ebenfalls nicht betroffen.
Von Ari Eitan, Director of Cloud Security Research bei Tenable, habe ich zu diesem Sachverhalt im Nachgang folgende Einschätzung erhalten.
Die Ausnutzung ist äußerst simpel und kann ohne jegliche Authentifizierung erfolgen. Eine einzige bösartige HTTP-Anfrage kann eine Remote Code Execution auf Serverseite auslösen, was das Problem extrem gefährlich macht. Zudem führt die Standardkonfiguration der betroffenen Komponenten automatisch zu verwundbaren Anwendungen – tausende Deployments sind für Angreifer derzeit leichte Beute.
Auch wenn aktuell keine aktive Ausnutzung bekannt ist, kann sich das schnell ändern – und möglicherweise bleibt sie wochen- oder monatelang unentdeckt.
Die Folgen wären verheerend: Angreifer könnten beliebigen Code ausführen und potenziell die vollständige Kontrolle über den Server des Opfers übernehmen, was wiederum zur Kompromittierung sensibler Daten auf breiter Front führen könnte.
MVP: 2013 – 2016
