In den React Server Components gibt es eine kritische RCE-Schwachstelle (CVE-2025-55182) mit einem CVSS-Score von 10.0. Die Schwachstelle hat nicht nur Auswirkungen auf die React Server Components (ein JavaScript-Framework zur Entwicklung von Web-Komponenten), sondern auch auf Next.js.
React ist eine JavaScript-Programmbibliothek zur Erstellung von webbasierten Benutzeroberflächen. Komponenten werden in React hierarchisch aufgebaut und können in dessen Syntax als selbst definierte JSX-Tags repräsentiert werden. Das Modell von React verspricht durch die Konzepte des unidirektionalen Datenflusses und des Virtual DOM den einfachen, aber trotzdem performanten Aufbau auch komplexer Anwendungen. React bildet typischerweise die Basis für Single-Page-Webanwendungen, kann jedoch auch mit Node.js serverseitig (vor-)gerendert werden.
Obiger Tweet weist auf das Problem hin, welches von WIZ am 3. Dezember 2025 hier und vom React-Team im Beitrag Critical Security Vulnerability in React Server Components offen gelegt wurde. Es gibt eine Sicherheitslücke in React Server Components, die eine nicht authentifizierte Remote-Codeausführung (RCE) ermöglicht.
Die kritische Sicherheitslücke CVE-2025-55182 wurde am 29. November 2025 vob Lachlan Davidson gemeldet. In den React Server Components-Versionen 19.0.0, 19.1.0, 19.1.1 und 19.2.0, einschließlich der folgenden Pakete: react-server-dom-parcel, react-server-dom-turbopack und react-server-dom-webpack, besteht eine Sicherheitslücke hinsichtlich der Ausführung von Remote-Code vor der Authentifizierung. Der anfällige Code deserialisiert Payloads aus HTTP-Anfragen an Server-Funktionsendpunkte auf unsichere Weise.
Das React-Team von Facebook hat diesen Hinweis zur Schwachstelle veröffentlicht, und im React-Blog gibt es diesen Support-Beitrag. In den Versionen 19.0.1, 19.1.2 und 19.2.1 wurde eine Korrektur zum Schließen der Schwachstelle eingeführt.
Entwickler, die eines der oben genannten Pakete verwenden, müssen umgehend auf eine der korrigierten Versionen aktualisieren. Problem sind Apps, die entsprechende Pakete auf Servern verwenden. Verwendet der React-Code einer App keinen Server, ist die App von dieser Sicherheitslücke nicht betroffen. Wenn eine App kein Framework, Bundler oder Bundler-Plugin verwendet, das React Server Components unterstützt, ist diese App von dieser Sicherheitslücke ebenfalls nicht betroffen.
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit Sicherheit, Software verschlagwortet. Setze ein Lesezeichen auf den Permalink.
Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.
Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.
