Picus Security deckt kritische RCE-Schwachstellen im React.js-Ökosystem auf

Das Cybersicherheitsunternehmen Picus Security hat zwei kritische Schwachstellen, CVE-2025-55182 und CVE-2025-66478, offengelegt, die das Ökosystem der React Server Components (RSC) beeinträchtigen. Diese Schwachstellen, die beide eine CVSS-Bewertung von 10.0 (kritisch) aufweisen, ermöglichen die Fernausführung von Code (RCE) durch Ausnutzung einer Schwäche bei der Daten-Deserialisierung.

Das betroffene RSC-Ökosystem umfasst zentrale React-Pakete und Frameworks wie React 19, react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack und Next.js. Die Schwachstellen ergeben sich aus dem Flight-Protokoll, das von RSC für den Datentransport verwendet wird. Wenn ein Client Daten über das Flight-Protokoll an den Server sendet, ist der Prozess, mit dem React diese Daten dekodiert, anfällig für Angriffe.

Laut der Analyse von Picus Security kann ein Angreifer bösartige Eingaben in die Payload einfügen, was zu einer "Prototype Pollution" auf dem Server führt. Dies ermöglicht es Angreifern, Ausführungspfade zu kontrollieren und eine unauthentifizierte Fernausführung von Code zu erreichen. Der Exploit erfordert das Senden einer speziell präparierten HTTP-Anfrage an einen Server Function-Endpunkt. Entscheidend ist, dass die Schwachstelle aufgrund von Standardkonfigurationen auch Anwendungen betrifft, in denen keine Server Function-Endpunkte explizit definiert sind.

CVE-2025-55182 betrifft zentrale React-Komponenten (Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0), während sich CVE-2025-66478 auf bestimmte Versionen von Next.js (15.x, 16.x und Canary-Releases 14.3.0-canary.77 und neuer) konzentriert. Organisationen, die diese Technologien nutzen, wird dringend empfohlen, die veröffentlichten Patches unverzüglich anzuwenden, um die Sicherheitsrisiken zu mindern.