Neues zu DoS- und Quellcodeoffenlegungs-Schwachstellen in React Server Components

 (react.dev)
4 Punkte von GN⁺ 2025-12-13 | Noch keine Kommentare. | Auf WhatsApp teilen
  • In React Server Components wurden neue Denial-of-Service (DoS)- und Quellcodeoffenlegungs-Schwachstellen entdeckt und veröffentlicht
  • Für diese Schwachstellen ist Remote Code Execution (RCE) nicht möglich, dennoch besteht ein Risiko von Serverausfällen oder Codelecks
  • Betroffene Pakete sind react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack in den Versionen 19.0.0~19.2.2; als gefixte Versionen gelten 19.0.3, 19.1.4, 19.2.3
  • Die DoS-Schwachstellen (CVE-2025-55184, CVE-2025-67779) können durch bösartige HTTP-Anfragen eine Endlosschleife auslösen, und die Quellcodeoffenlegungs-Schwachstelle (CVE-2025-55183) kann Teile des Codes von Serverfunktionen zurückgeben
  • Das React-Team empfiehlt ein sofortiges Upgrade und erklärt diese zusätzliche Offenlegung als normalen Teil des Sicherheitsreaktionszyklus

Überblick über die neu veröffentlichten Schwachstellen

  • Sicherheitsforscher entdeckten bei der Verifikation des in der Vorwoche veröffentlichten Patches für kritische Schwachstellen zwei zusätzliche Probleme
  • Für die neuen Schwachstellen ist Remote Code Execution (RCE) nicht möglich; der bisherige React2Shell-Patch ist weiterhin wirksam
  • Die neu veröffentlichten Schwachstellen sind folgende
    • Denial-of-Service (DoS) — CVE-2025-55184, CVE-2025-67779 (CVSS 7.5, hohe Schwere)
    • Quellcodeoffenlegung — CVE-2025-55183 (CVSS 5.3, mittlere Schwere)
  • Das React-Team empfiehlt ein sofortiges Upgrade

Unvollständigkeit des bisherigen Patches

  • Der in der Vorwoche bereitgestellte Patch in den Versionen 19.0.2, 19.1.3, 19.2.2 war unvollständig und muss erneut aktualisiert werden
  • Der vollständige Fix ist in 19.0.3, 19.1.4, 19.2.3 enthalten
  • Den Update-Anweisungen aus dem vorherigen Beitrag ist zu folgen
  • Weitere Details werden nach der Bereitstellung der Korrektur veröffentlicht

Betroffene Pakete und Versionen

  • Die Schwachstellen betreffen dieselben Pakete und Versionen wie CVE-2025-55182
  • Betroffene Versionen: 19.0.0~19.2.2
  • Betroffene Pakete:
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • Gefixte Versionen: 19.0.3, 19.1.4, 19.2.3
  • Anwendungen, die keinen Server einsetzen oder React Server Components nicht unterstützen, sind nicht betroffen

Typisches Muster nachfolgender Offenlegungen

  • Nach der Veröffentlichung einer kritischen CVE werden in der Zusatzanalyse betroffener Codepfade häufig weitere Schwachstellen gefunden
  • Als Beispiel wird auf zusätzliche CVEs nach Log4Shell verwiesen
  • Solche zusätzlichen Offenlegungen bedeuten, dass die Sicherheitsreaktion korrekt funktioniert

Betroffene Frameworks und Bundler

  • Die folgenden Frameworks und Bundler enthalten oder hängen von den betroffenen React-Paketen ab:
    • next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk
  • Den Update-Anweisungen aus dem vorherigen Beitrag ist zu folgen

Milderungsmaßnahmen durch Hosting-Anbieter

  • Mit mehreren Hosting-Anbietern wurden temporäre Milderungsmaßnahmen umgesetzt
  • Dennoch sollte man sich nicht auf diese Maßnahmen verlassen und ein sofortiges Update durchführen

Hinweise zu React Native

  • Für reine React Native-Nutzung ist keine zusätzliche Maßnahme erforderlich
  • In einem Monorepo sind nur die folgenden Pakete zu aktualisieren:
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • react und react-dom müssen nicht aktualisiert werden
  • Weitere Details sind in der React Native GitHub-Issue dokumentiert

Hohe Schwere: Denial-of-Service (DoS)

  • CVE-2025-55184, CVE-2025-67779, CVSS 7.5
  • Wird eine bösartige HTTP-Anfrage an den Server-Funktionsendpunkt von React gesendet, kann im Deserialisierungsschritt eine Endlosschleife entstehen
  • Der Serverprozess kann abstürzen und übermäßig viel CPU-Ressourcen nutzen
  • Auch ohne direkte Implementierung eines Endpunkts für Serverfunktionen kann eine App betroffen sein, sofern sie React Server Components unterstützt
  • Der heute bereitgestellte Patch behebt das Problem durch Verhinderung der Endlosschleife
  • Die erste Korrektur war unvollständig und wurde durch die zusätzliche Schwachstelle (CVE-2025-67779) ergänzt

Mittlere Schwere: Quellcodeoffenlegung

  • CVE-2025-55183, CVSS 5.3
  • Eine bösartige HTTP-Anfrage kann Teile des Quellcodes von Serverfunktionen zurückgeben
  • Das tritt auf, wenn Serverfunktionen String-Argumente explizit oder implizit offenlegen
  • In Beispielcode können hartkodierte Geheimwerte wie Datenbank-Verbindungsschlüssel offengelegt werden
  • Der Patch behebt dies durch Verhinderung der Stringifizierung des Serverfunktions-Quellcodes
  • Der Offenlegungsbereich ist auf den internen Code von Serverfunktionen beschränkt; Runtime-Geheimnisse wie process.env.SECRET sind nicht betroffen
  • Die Verifikation sollte anhand von Produktions-Bundles erfolgen

Zeitplan

  • 3. Dezember: Andrew MacPherson meldete die Quellcodeoffenlegung bei Vercel und der Meta Bug Bounty
  • 4. Dezember: RyotaK meldete die DoS-Schwachstelle
  • 6. Dezember: Das React-Team bestätigte beide Probleme und begann die Untersuchung
  • 7. Dezember: Erstellen eines initialen Fixes und Aufstellen eines Verifizierungsplans
  • 8. Dezember: Benachrichtigung von Hosting-Anbietern und Open-Source-Projekten
  • 10. Dezember: Umsetzung von Milderungsmaßnahmen und Abschluss der Patch-Verifizierung
  • 11. Dezember: Shinsaku Nomura meldete zusätzliche DoS-Schwachstelle; Veröffentlichung von CVE-2025-55183, CVE-2025-55184 und CVE-2025-67779

Meldende Personen

  • Andrew MacPherson (AndrewMohawk) — Meldung zur Quellcodeoffenlegung
  • RyotaK (GMO Flatt Security Inc) und Shinsaku Nomura (Bitforest Co., Ltd.) — Meldung zur DoS-Schwachstelle

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.