CVE-2025-55182 (React2Shell): Remote Code Execution in React und Next.js

 (securitylabs.datadoghq.com)
8 Punkte von GN⁺ 2025-12-06 | Noch keine Kommentare. | Auf WhatsApp teilen
  • In den React Server Components wurde eine Remote Code Execution (RCE)-Schwachstelle entdeckt, mit der ohne Authentifizierung beliebiger Code ausgeführt werden kann; ein sofortiges Upgrade ist erforderlich
  • Next.js ist ebenfalls betroffen und anfällig, wenn die Funktion App Router genutzt wird. Next.js führt die Schwachstelle als CVE-2025-66478
  • Die Ursache liegt in einer serverseitigen Prototype Pollution; ein Angreifer kann das JavaScript-Objekt-Prototype manipulieren und über child_process.execSync und ähnliche APIs Befehle ausführen
  • Ein öffentlicher PoC (Proof of Concept)-Code verbreitete sich schnell, und Datadog hat laut Stand vom 5. Dezember mehr als 800 IPs mit realen Angriffsversuchen erkannt
  • Die Schwachstelle hat einen CVSS-Wert von 10/10 und ist besonders kritisch in Next.js 15.x–16.x, daher sind aktuelle Patches zwingend notwendig

Wichtige Schwachstellenübersicht

  • Am 3. Dezember wurde in React Server Components eine Schwachstelle entdeckt, die die Ausführung beliebigen Codes ohne Authentifizierung ermöglicht; sie wurde als CVE-2025-55182 registriert
    • Die Schwachstelle läuft serverseitig und ermöglicht einem entfernten Angreifer die Codeausführung
  • Next.js enthält die verwundbare Komponente und ist damit ebenfalls betroffen
    • Next.js verwaltet sie als CVE-2025-66478 separat, während die NVD diese CVE nicht offiziell anerkennt
  • Der CVSS-Score liegt bei 10/10; Datadog bestätigte, dass der Angriff sehr einfach ist und sich in Standard-Next.js-Apps mit Standard-Templates reproduzieren lässt
  • Zum 5. Dezember wurden echte Angriffsversuche mit weaponisierten Payloads beobachtet

Betroffene Versionen und Gegenmaßnahmen

  • Verwundbare React-Bibliotheken:
    • react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack
    • Betroffene Versionen: 19.0 bis 19.2.0 / Patche: 19.0.1, 19.1.2, 19.2.1
  • Betroffene Next.js-Versionen
    • Verwundbar: 15.x, 16.x, ab 14.3.0-canary.77
    • Patches: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
  • Mit npm audit kann geprüft werden, ob eine Bibliothek verwundbar ist
  • Die Behebung besteht darin, auf gepatchte Versionen zu aktualisieren

Schwachstellenanalyse und PoC

  • Am 3. Dezember wurde ein Patch im React-Repository committed
    • Die Änderung besteht darin, dass die requireModule-Funktion so angepasst wurde, dass sie prüft, ob ein Objektattribut existiert
  • Die Schwachstelle ist vom Typ serverseitige Prototype Pollution, bei der durch Verunreinigung von Objekt-Prototypen beliebiger Code ausgeführt werden kann
  • Öffentliche PoCs:
    • Der erste PoC (ejpir/CVE-2025-55182-poc) ist nicht funktionsfähig
    • Der zweite PoC (msanft/CVE-2025-55182) funktioniert sogar in einer Standard-Next.js-App
    • Der Erstmelder Lachlan Davidson veröffentlichte am 5. Dezember drei offizielle Varianten-PoCs

Tatsächliche Angriffsaktivitäten

  • Datadog hat ab 22:00 Uhr UTC am 3. Dezember Scanning-Aktivitäten entdeckt
    • Stand 5. Dezember: Scans und Angriffsversuche aus mehr als 800 IPs beobachtet
    • Es wurden mindestens zwei Organisationen ins Visier genommen; nach dem 4. Dezember wurden fortlaufend Aktivitäten beobachtet
  • Angriffsfluss:
    • Zuerst ein auf einem nicht funktionsfähigen PoC basierendes Scanning
    • Danach wurde der PoC von Moritz Sanft und zuletzt der PoC von Davidson als Payload eingesetzt
  • Beobachtete Payloads:
    • Lesen von /etc/passwd, Ausführung von whoami, Download von Remote-Skripten per curl/wget
    • Einige enthielten auch das Abgreifen von Umgebungsvariablen (.env) und Funktionen zur Systeminformationen-Erhebung

Konzept der serverseitigen Prototype Pollution

  • Typ CWE-1321, der auftritt, wenn Objekt-Prototypeigenschaften falsch kontrolliert werden
  • In der Regel wird er im Frontend über XSS ausgenutzt, auf der Server-Seite kann er jedoch zu RCE oder Dateilesen führen
  • Im Beispielcode wird durch __proto__-Kontamination Object.prototype verändert, wodurch alle später erzeugten Objekte betroffen sind
  • Dadurch wird beim Aufruf von spawnSync('sh') ein schädlicher Befehl als Eingabe übergeben und ausgeführt

Datadog-Erkennung und Schutzfunktionen

  • Datadog Code Security erkennt verwundbare Bibliotheken in GitHub oder in der Laufzeitumgebung
    • Es stellt Suchfunktionen für CVE-2025-55182 oder CVE-2025-66478 bereit
  • Datadog App and API Protection (AAP) kann Angriffe in der Laufzeit blockieren
  • Datadog Workload Protection stellt für Node-Prozesse benutzerdefinierte Regeln bereit, die die Ausführung von wget, curl, bash und ähnlichen Kommandos erkennen

Weiterführende Quellen

  • Offizielle Empfehlungen: React, Next.js
  • Reaktionen von Cloud-Anbietern: AWS, Vercel, Google Cloud, Akamai, Cloudflare
  • Sicherheitsanalysen von: Wiz, Tenable, SearchLight Cyber
  • CERT-Warnungen: CERT-EU, CERT-SE, CERT-AU
  • Öffentlicher Scanner: assetnote/react2shell-scanner

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.