Wichtige Erkenntnisse
- CVE-2025-55184 ist eine Denial-of-Service (DoS)-Schwachstelle in React Server Components (RSC), keine Remote Code Execution (RCE)-Schwachstelle.
- Das Problem ist eng verwandt mit React2Shell (CVE-2025-55182) und stammt aus derselben Deserialisierungsschicht des React Flight-Protokolls.
- Aikido erkennt CVE-2025-55184 bereits und bietet eine In-App-Checkliste, um Teams dabei zu helfen zu überprüfen, ob sie tatsächlich exponiert und vollständig behoben sind.
- Eine speziell präparierte Anfrage kann eine Endlosschleife oder einen blockierten Zustand auslösen, wodurch betroffene Server nicht mehr reagieren.
- Ein unvollständiger anfänglicher Patch führte zu einer Folge-Schwachstelle, CVE-2025-67779, was bedeutet, dass einige Teams erneut aktualisieren müssen.
- Die meisten betroffenen Anwendungen verwenden den Next.js App Router oder andere RSC-fähige Frameworks.
TL;DR: Besteht weiterhin ein Risiko?
Wenn Sie nur aktualisiert haben, um CVE-2025-55182 (React2Shell) zu beheben, könnten Sie immer noch anfällig sein.
CVE-2025-55184 betrifft angrenzende RSC-Codepfade und kann Angreifern ermöglichen, Ihre App offline zu nehmen, selbst ohne Codeausführung zu erlangen. Sie sollten sicherstellen, dass Sie die neuesten gepatchten React- und Next.js-Versionen ausführen, einschließlich der Korrekturen für die Folge-CVE-2025-67779.
Abhilfemaßnahmen
1. React- und RSC-Pakete aktualisieren
Stellen Sie sicher, dass Sie die neuesten gepatchten React-Versionen ausführen, die sowohl die RCE- als auch die DoS-Probleme in der Deserialisierungslogik des Flight-Protokolls vollständig beheben.
2. Next.js- und RSC-Frameworks aktualisieren
- Next.js-Benutzer sollten auf die neueste gepatchte Version in ihrer Hauptversionslinie aktualisieren.
- Apps, die den App Router oder Server Functions verwenden, sind am stärksten exponiert.
- Vermeiden Sie es, sich allein auf frühe Patches nach React2Shell zu verlassen, da einige unvollständig waren.
3. Erneutes Scannen nach Folge-CVEs
Da die anfängliche Behebung von CVE-2025-55184 unvollständig war, müssen Sie bestätigen, dass:
- CVE-2025-67779 ebenfalls behoben ist
- Keine anfälligen transitiven RSC-Abhängigkeiten verbleiben
4. Mit Aikido validieren
Führen Sie einen neuen Scan durch, um zu überprüfen:
- Anfällige RSC-Pakete vollständig entfernt wurden
- Betroffene Serialisierungspfade nicht mehr erreichbar sind
- Ihr Upgrade eliminiert tatsächlich die Laufzeit-Exposition, nicht nur das Abhängigkeits-Flag
Hintergrund
Am 3. Dezember wurde das React-Ökosystem von einer kritischen Remote Code Execution (RCE)-Schwachstelle in React Server Components, CVE-2025-55182, erschüttert, die weithin als React2Shell bezeichnet wird. In unserem vorherigen Blog untersuchten wir, wie unsichere Deserialisierung im RSC-„Flight“-Protokoll nicht authentifizierten Angreifern ermöglichte, manipulierte HTTP-Anfragen zu senden, die in standardmäßigen React-/Next.js-Anwendungen zu einer vollständigen Serverübernahme führen konnten.
Seitdem, während die Branche eilig Patches und Schutzmaßnahmen gegen 55182 entwickelte, wurden zusätzliche Schwachstellen in angrenzenden Codepfaden aufgedeckt, was zu neuen Sicherheitshinweisen und CVEs führte. Eine davon ist CVE-2025-55184, die zwar keine Remote Code Execution-Schwachstelle wie React2Shell ist, aber dennoch ein ernstes Risiko für die Verfügbarkeit darstellt.
Tiefer Einblick
Was ist CVE-2025-55184?
CVE-2025-55184 ist eine Denial-of-Service-Schwachstelle, die durch unsichere Verarbeitung speziell präparierter Eingaben in der React Server Components Laufzeitumgebung verursacht wird.
Ein Angreifer kann eine fehlerhafte RSC-Anfrage senden, die:
- Eine Endlosschleife auslöst, oder
- Den Server in einen blockierten Zustand zwingt
Sobald ausgelöst, kann der Server auf legitimen Traffic nicht mehr reagieren, bis er neu gestartet wird.
Der Zusammenhang mit React2Shell
Diese Schwachstellen sind keine unabhängigen Fehler:
- Beide stammen aus dem React Flight-Protokoll, das es strukturierten Daten vom Client ermöglicht, das serverseitige Rendering und die Ausführung zu beeinflussen.
- CVE-2025-55184 wurde bei Audits nach React2Shell entdeckt, als Forscher angrenzende Deserialisierungslogik untersuchten.
- Zusätzliche verwandte Probleme traten auf, darunter:
- CVE-2025-55183 (Quellcode-Exposition)
- CVE-2025-67779 (unvollständiger Fix für 55184)
- CVE-2025-55183 (Quellcode-Exposition)
Dieses Muster verdeutlicht eine systemische Angriffsfläche im Serialisierungsdesign von RSC.
Warum Verfügbarkeitsangriffe immer noch wichtig sind
Anders als bei React2Shell:
- Angreifer erhalten keinen Shell-Zugriff
- Es kommt zu keiner willkürlichen Code-Ausführung
Aber:
- Server können remote offline genommen werden
- Angriffe sind unauthentifiziert
- Wiederholte Ausnutzung kann zu Ausfällen, Leistungseinbußen oder erzwungenen Neustarts führen
Für viele Teams ist Ausfallzeit genauso schädlich wie eine Kompromittierung.
Wer ist betroffen?
Ihre Anwendung könnte betroffen sein, wenn sie:
- React Server Components verwendet
- den Next.js App Router ausführt
- Server Functions oder RSC-Endpunkte bereitstellt
- nach den React-/Next.js-Advisories vom Dezember noch nicht vollständig aktualisiert wurde
Auch wenn Sie Server-Logik nicht explizit verwenden, können Framework-Standardeinstellungen die anfälligen Codepfade dennoch offenlegen.
Schweregrad
- CVE-Score: Hoch (Auswirkung auf Verfügbarkeit)
- Auswirkung: Denial of Service
- Angriffsvektor: Remote, unauthentifiziert
- Ausnutzbarkeit: Geringe Komplexität
Zeitplan
- Ende November: React2Shell (CVE-2025-55182) offengelegt
- Anfang Dezember: Zusätzliche RSC-Schwachstellen entdeckt
- 3.–5. Dezember: CVE-2025-55184 offengelegt und gepatcht
- Folgetage: Unvollständiger Fix identifiziert → CVE-2025-67779 veröffentlicht
Scannen Sie jetzt Ihre Codebasis
Aikido verfolgt CVE-2025-55184, CVE-2025-67779 und die umfassendere Familie der RSC-bezogenen Schwachstellen.
Verbinden Sie Ihre Repositories, um:
- Anfällige React- und Next.js-Versionen identifizieren
- Feststellen, ob die riskanten RSC-Pfade tatsächlich erreichbar sind
- Validieren, dass Ihre Upgrades die Exposition vollständig eliminieren
Starten Sie den kostenlosen Scan mit Aikido.
