CVE-2025-66478 / CVE-2025-55182: Kritische React-Schwachstelle ermöglicht Remote Code Execution – was Unternehmen jetzt tun müssen

Die neu veröffentlichte Sicherheitsmeldung CVE-2025-66478 sorgt aktuell weltweit für Aufmerksamkeit. Wie AWS inzwischen bestätigt hat, handelt es sich dabei um ein Duplikat der bereits dokumentierten, schwerwiegenden Schwachstelle CVE-2025-55182. Diese betrifft Anwendungen, die auf React Server Components (RSC) bzw. React Server Flight basieren. Die Lücke gilt als kritisch, da sie unter bestimmten Bedingungen eine Remote Code Execution (RCE) ermöglicht.

Die gute Nachricht: Es gibt bereits einen offiziellen Fix sowie ein von Meta bereitgestelltes Reparatur-Tool. Dennoch besteht dringender Handlungsbedarf für alle Unternehmen, die React oder Next.js in produktiven oder internen Systemen einsetzen.

Was genau ist betroffen?

Die Schwachstelle betrifft React-Versionen, bei denen React Server Components aktiviert sind, darunter:

  • React 19.0, 19.1 und 19.2
  • Next.js 15.x, 16.x und diverse Canary-Releases
  • Pakete wie react-server-dom-parcel, react-server-dom-turbopack und react-server-dom-webpack

Wichtig: Reine React-Frontends ohne Server Components sind nicht betroffen.

Was passiert bei dieser Sicherheitslücke?

Die Schwachstelle ermöglicht es Angreifern unter bestimmten Umständen, manipulierte Requests an den RSC-Endpunkt zu senden. Diese können dazu führen, dass auf dem Server beliebiger Code ausgeführt wird. Das macht die Lücke besonders gefährlich, da:

  • Server kompromittiert werden können,
  • Daten abgegriffen oder verändert werden können,
  • Angreifer dauerhaft Zugang erhalten können,
  • Ransomware-Angriffe theoretisch möglich wären.

AWS unterstreicht, dass Systeme, die RSC nutzen, unmittelbar Maßnahmen ergreifen müssen.

Offizieller Fix ist bereits verfügbar

Die React-Entwickler haben umgehend Updates veröffentlicht, die das Problem beheben. Betroffene Versionen wurden gepatcht, und folgende Versionen gelten derzeit als sicher:

  • React 19.0.1
  • React 19.1.2
  • React 19.2.1

Next.js hat ebenfalls korrigierte Versionen bereitgestellt; Nutzer sollten auf die jeweils aktuellen Releases aktualisieren, insbesondere wenn der App Router verwendet wird.

Offizielles Fix-Tool: „npx fix-react2shell-next“

Zusätzlich zu den Patches wurde ein offizielles Reparatur-Tool bereitgestellt, das bekannte Angriffsvektoren direkt in bestehenden Projekten analysiert und korrigiert: 

npx fix-react2shell-next

Dieses Tool ist insbesondere für Next.js-Projekte hilfreich und kann folgende Aufgaben übernehmen:

  • Audit der Projektstruktur
  • Überprüfung von RSC-Konfigurationen
  • Korrektur unsicherer Imports oder API-Routen
  • Schnelle Reparatur typischer CVE-2025-55182-Fehlstellen

Empfehlung: Das Tool sollte zwingend in allen betroffenen Projekten ausgeführt werden.

NPM Audit Fix: Zusätzliche Absicherung

Auch wenn der offizielle Fix die Schwachstelle schließt, schadet es nicht, zusätzlich die Abhängigkeiten zu überprüfen. Mit folgendem Befehl können automatisch weitere potenzielle Probleme behoben werden: 

npm audit fix

Dieser Schritt ersetzt den offiziellen Fix nicht, ergänzt ihn aber sinnvoll – insbesondere in Projekten mit längerer Update-Historie.

Was AWS zu CVE-2025-66478 sagt

AWS stuft CVE-2025-66478 als „Duplicate of CVE-2025-55182“ ein. Das bedeutet:

  • Es existiert kein zusätzlicher Angriffspfad, der nicht bereits über CVE-2025-55182 abgedeckt wäre.
  • Alle relevanten Maßnahmen beziehen sich auf die Hauptlücke.
  • AWS hat WAF-Regeln aktualisiert, die bekannte Angriffe blockieren.

Nutzer von AWS Managed Services müssen aktuell keine eigenen Maßnahmen ergreifen – dennoch empfiehlt AWS, die eigenen Applikationen zu patchen und zu überprüfen.

Empfohlene Maßnahmen für Unternehmen

Je nach technischer Umgebung sollten die folgenden Schritte sofort durchgeführt werden:

  1. Alle React- und Next.js-Versionen prüfen und auf die gepatchten Versionen aktualisieren.
  2. das Tool npx fix-react2shell-next ausführen.
  3. npm audit fix als zusätzliche Absicherung ausführen.
  4. Server- und Cloud-Logs prüfen, um ungewöhnliche Aktivitäten zu erkennen.
  5. WAF-Regeln aktualisieren bzw. aktivieren (AWS Managed Rule Sets sind bereits angepasst).
  6. RSC-Endpunkte in Next.js erneut prüfen und absichern.

Fazit

Die Schwachstelle CVE-2025-55182 (und deren Duplikat CVE-2025-66478) zählt zu den kritischsten React-/Next.js-Problemen der letzten Jahre. Da sie Remote Code Execution ermöglicht, ist ein unmittelbarer Patch-Prozess zwingend notwendig.

Durch die schnelle Reaktion der React- und Next.js-Teams stehen bereits Sicherheitsupdates und ein praktisches Fix-Tool zur Verfügung. Unternehmen, die diese Maßnahmen rasch umsetzen, können das Risiko effektiv minimieren und ihre Web-Infrastruktur nachhaltig absichern.