React2Shell-Schwachstelle: Kritische Sicherheitslücke in React Server Komponenten wird aktiv von China-unterstützten Gruppen ausgenutzt

Eine neue Schwachstelle mit maximaler Schwere (mit einem CVSS-Wert von 10,0) in React Server Components (RSC), genannt React2shell, sorgt für Aufsehen in der Cyber-Bedrohungslandschaft, unmittelbar nach der kürzlichen Ausnutzung von zwei schwerwiegenden Schwachstellen im Android-Framework (CVE-2025-48633 und CVE-2025-48572). Verteidiger haben beobachtet, dass mehrere von China unterstützte Gruppen die React2Shell-Schwachstelle ausnutzen, was RCE, was gefährdete Implementierungen erheblich gefährdet. 

Seit Jahren führt China offensive Cyber-Operationen durch , die auf US-amerikanische und internationale Organisationen in verschiedenen Sektoren abzielen und dabei oft auf staatlich unterstützte APT-Gruppen wie Mustang Panda or APT41 zurückgreifen, um Informationen und sensible Daten zu sammeln. 

Seit einem halben Jahrzehnt legen Chinas staatlich unterstützte Cyber-Operationen zunehmend Wert auf Tarnung und operative Sicherheit, was eine komplexere und herausfordernde Bedrohungslandschaft für Organisationen in verschiedenen Branchen, einschließlich des öffentlichen Sektors, sowie für die globale Cybersicherheitsgemeinschaft schafft. China-gebundene APT-Gruppen sind nach wie vor die schnellsten und aktivsten staatlich gesponserten Akteure, die oft neue Exploits fast unmittelbar nach ihrer Veröffentlichung waffenfähig machen. Der CrowdStrike Global Threat Report 2025 zeigt, dass die von China gebundenen Bedrohungsakteure staatlich gesponserte Cyber-Operationen um 150 % erhöht haben.

Registrieren Sie sich für die SOC Prime Plattform, die AI-native Detection Intelligence Platform für SOC-Teams, um Ihrer Organisation zu helfen, aufkommende Bedrohungen jeglicher Raffinesse, fortschrittliche APT-Angriffe und sich entwickelnde Exploit-Kampagnen abzuwehren. Klicken Sie auf Erkennungen erkunden um auf eine umfassende Sammlung von SOC-Inhalten zur Ausnutzung von Schwachstellen zuzugreifen, intelligent gefiltert durch einen benutzerdefinierten „CVE“-Tag.

Erkennungen erkunden

Alle Erkennungen können in diversen SIEM-, EDR- und Data Lake-Systemen angewendet werden und sind dem MITRE ATT&CK® Framework zugeordnet. Sie sind außerdem mit AI-nativer Erkennungsintelligenz und umsetzbaren Metadaten angereichert, einschließlich CTI-Referenzen, Angriffszeitplänen, Audit-Konfigurationen und Triage-Empfehlungen für eine optimierte Bedrohungsforschung und CTI-Analyse, die Teams helfen, die operative Effizienz zu steigern.

Sicherheitsteams können sich auch auf Uncoder AI verlassen, um Detektions-Engineering-Workflows von Anfang bis Ende zu beschleunigen und von der automatisierten IOC-Konvertierung in benutzerdefinierte Jagdanfragen, der automatisierten Generierung von Erkennungslogik direkt aus Bedrohungsberichten, der Visualisierung von Attack Flows, der Vorhersage von ATT&CK-Tags und AI-unterstützten Inhalten in mehreren Sprachformaten zu profitieren – alles innerhalb einer einzigen Lösung. 

Analyse der React2Shell-Schwachstelle

Verteidiger haben kürzlich eine neuartige Schwachstelle mit maximaler Schwere entdeckt, die in React Server Components als CVE-2025-55182 verfolgt wird, auch bekannt als React2Shell, die React 19.x und Next.js 15.x/16.x mit App Router betrifft. Diese Vor-Authentifizierungs-RCE-Schwachstelle wurde von Lachlan Davidsonverantwortungsvoll an Meta gemeldet, wobei React und Vercel am 3. Dezember 2025 gemeinsam Patches herausgaben. Öffentliche PoC-Exploits tauchten ungefähr 30 Stunden nach der Offenlegung auf, gefolgt von den eigenen PoCs des Forschers. 

React2Shell resultiert aus unsicherer Deserialisierung von Nutzlasten, die über HTTP-Anfragen an Server Function Endpoints gesendet werden. Diese logische Deserialisierungs-Schwachstelle in der Verarbeitung von RSC-Nutzlasten erlaubt es einem nicht authentifizierten Angreifer, eine manipulierte HTTP-Anfrage an einen beliebigen Server Function Endpoint zu senden, die React dann deserialisiert und die Ausführung von beliebigem JavaScript-Code auf dem Server ermöglicht.

Amazon Threat Intel Teams berichten dass staatlich gesponserte Kollektive aus China, sowohl etablierte als auch zuvor unbekannte Cluster, einschließlich Earth Lamia und Jackpot Panda, bereits versuchen, die Schwachstelle zu waffenfähig zu machen, was nicht authentifizierte RCE durch unsichere Verarbeitung von RSC-Nutzlasten ermöglicht. 

Gegner nutzen sowohl automatisierte Scanner als auch manuell ausgeführte PoCs, wobei einige Tools Ausweichtaktiken wie zufällige User Agents verwenden. Ihre Aktivität erstreckt sich weit über CVE‑2025‑55182 hinaus, wobei Amazons Monitoring zeigt, dass dieselben chinesischen Cluster andere kürzlich aufgetretene Schwachstellen ausnutzen, wie CVE‑2025‑1338. Dies unterstreicht ein systematisches Modell, bei dem Gegner neue Offenlegungen verfolgen, öffentliche Exploits sofort in ihre Tools integrieren und große Kampagnen über mehrere CVEs gleichzeitig starten, um die Zielerreichung zu maximieren.

Bemerkenswerterweise verlassen sich viele Angreifer auf öffentlich gepostete PoCs, die in realen Implementierungen nicht funktionieren. Die GitHub-Community hat zahlreiche Beispiele markiert, die die Schwachstelle falsch interpretieren, darunter Demos, die gefährliche Module falsch registrieren oder selbst nach der Behebung ausnutzbar bleiben. Doch Angreifer nutzen sie weiterhin, was klare Verhaltensmuster aufzeigt, wie die schnelle Übernahme gegenüber Validierung, hochvolumiges Scannen, niedrige Einstiegshürden aufgrund der Verfügbarkeit öffentlicher Exploits und Protokollrauschen, das gezieltere Angriffe verschleiern kann.

AWS MadPot-Telemetrie bestätigt, dass Gegner ihre Exploit-Versuche kontinuierlich weiterentwickeln. Das nicht zugeordnete Cluster (IP 183[.]6.80.214) verbrachte am 4. Dezember fast eine Stunde damit, Nutzlasten wiederholt zu testen, über 52 Minuten mehr als 100 Anfragen zu stellen, Linux-Befehle auszuführen, Dateischreibversuche auf /tmp/pwned.txtzu unternehmen und zu versuchen, `/etc/passwd` zu lesenDies zeigt, dass Angreifer nicht einfach automatisierte Scans abfeuern, sondern aktiv Debugging und Verfeinerungstechniken gegen Live-Systeme einsetzen.

Bemerkenswerterweise betrifft die Bedrohung auch Next.js-Anwendungen, die App Router verwenden. Ursprünglich zugewiesen CVE‑2025‑66478 mit einem CVSS-Wert von 10.0, wurde es inzwischen von der NIST NVD als Duplikat der React2Shell-Schwachstelle markiert.

Wiz hat berichtet, dass 39 % der Cloud-Umgebungen Systeme haben, die für CVE‑2025‑55182 und CVE‑2025‑66478 anfällig sind. Obwohl AWS-Dienste nicht betroffen sind, werden Benutzer angesichts der kritischen Natur beider Schwachstellen dringend gebeten, Patches sofort anzuwenden, um maximalen Schutz zu gewährleisten.

Organisationen, die React oder Next.js auf EC2, in Containern oder in anderen selbstverwalteten Umgebungen betreiben, sollten ohne Verzögerung Updates anwenden. Um Risiken aus der Ausnutzung von React2Shell zu minimieren, aktualisieren Sie umgehend betroffene React- und Next.js-Anwendungen gemäß dem AWS Security Bulletin für gepatchte Versionen. Als Zwischenmaßnahme wird Verteidigern empfohlen, die benutzerdefinierte AWS WAF-Regel einzusetzen, die im Bulletin bereitgestellt wird, um Exploit-Versuche zu blockieren. 

In der Zwischenzeit hat Cloudflare angekündigt dass es einen neuen Schutz in seinem cloudbasierten WAF implementiert hat, als potenzielle React2Shell-Abwehrmaßnahme. Laut dem Unternehmen sind alle Kunden, sowohl kostenlose als auch zahlende, geschützt, sofern ihr React-Anwendungsverkehr über Cloudflares Proxy geleitet wird.

Da die Zahl der aktiv ausgenutzten Schwachstellen weiterhin steigt, priorisieren weitsichtige Organisationen proaktive Cyber-Abwehrmaßnahmen, um starke und belastbare Sicherheitspositionen zu gewährleisten. SOC Primes AI-native Detection Intelligence Platform hilft Organisationen, ihre Cyberverteidigung in großem Maßstab zu verbessern, indem sie KI-Technologien und führende Cybersicherheitsexpertise nutzen und gleichzeitig die Ressourceneffektivität maximieren.