Wichtige Erkenntnisse
- CVE-2025-55184 ist eine Denial-of-Service-Sicherheitslücke (DoS) in React Server Components (RSC) und keine Schwachstelle, die die Ausführung von Remote-Code ermöglicht.
- Das Problem steht in engem Zusammenhang mit React2Shell (CVE-2025-55182) und hat seinen Ursprung in derselben Deserialisierungs-Schicht des React Flight-Protokolls.
- Aikido erkennt CVE-2025-55184 Aikido und bietet eine Checkliste in der App, mit deren Hilfe Teams überprüfen können, ob sie tatsächlich betroffen sind und ob die Schwachstelle vollständig behoben wurde.
- Eine speziell gestaltete Anfrage kann eine Endlosschleife oder einen Hängezustand auslösen, wodurch die betroffenen Server nicht mehr reagieren.
- Ein unvollständiger erster Patch führte zu einer Folge-Sicherheitslücke, CVE-2025-67779, was bedeutet, dass einige Teams erneut ein Upgrade durchführen müssen.
- Die meisten betroffenen Anwendungen verwenden Next.js App Router oder andere RSC-fähige Frameworks.
TL;DR: Sind Sie immer noch gefährdet?
Wenn Sie nur ein Upgrade durchgeführt haben, um CVE-2025-55182 (React2Shell) zu beheben, sind Sie möglicherweise weiterhin anfällig.
CVE-2025-55184 betrifft benachbarte RSC-Codepfade und kann es Angreifern ermöglichen, Ihre App offline zu schalten, ohne dass sie Code ausführen müssen. Sie sollten sicherstellen, dass Sie die neuesten gepatchten Versionen von React und Next.js verwenden, einschließlich der Korrekturen für die Folge-CVE-2025-67779.
Abhilfemaßnahmen
1. Aktualisieren Sie die React- und RSC-Pakete.
Stellen Sie sicher, dass Sie die neuesten gepatchten React-Versionen verwenden, die sowohl die RCE- als auch die DoS-Probleme in der Deserialisierungslogik des Flight-Protokolls vollständig beheben.
2. Next.js und RSC Frameworks aktualisieren
- Next.js-Benutzer sollten auf die neueste gepatchte Version ihrer Hauptversionsreihe aktualisieren.
- Apps, die den App-Router oder Serverfunktionen verwenden, sind am stärksten gefährdet.
- Vermeiden Sie es, sich allein auf frühe Patches nach React2Shell zu verlassen, da einige davon unvollständig waren.
3. Erneute Suche nach Folge-CVEs
Da die ursprüngliche Korrektur für CVE-2025-55184 unvollständig war, müssen Sie Folgendes überprüfen:
- CVE-2025-67779 wurde ebenfalls behoben.
- Es bestehen keine anfälligen transitiven RSC-Abhängigkeiten mehr.
4. Mit Aikido validieren
Führen Sie einen neuen Scan durch, um dies zu überprüfen:
- Anfällige RSC-Pakete werden vollständig entfernt.
- Betroffene Serialisierungswege sind nicht mehr erreichbar
- Ihr Upgrade beseitigt tatsächlich die Laufzeitgefährdung, nicht nur das Abhängigkeitsflag.
Hintergrund
Am 3. Dezember wurde das React-Ökosystem durch eine kritische Sicherheitslücke in React Server Components (CVE-2025-55182) erschüttert, die weithin als React2Shell bekannt ist. In unserem vorherigen Blogbeitrag haben wir untersucht, wie die unsichere Deserialisierung im RSC-Protokoll „Flight“ es nicht authentifizierten Angreifern ermöglichte, manipulierte HTTP-Anfragen zu senden, die zu einer vollständigen Übernahme des Servers in Standard-React/Next.js-Anwendungen führen konnten.
Seitdem wurden in der Eile, Patches zu entwickeln und Schutzmaßnahmen gegen 55182 zu ergreifen, weitere Schwachstellen in benachbarten Codepfaden entdeckt, was zu neuen Sicherheitshinweisen und CVEs führte. Eine davon ist CVE-2025-55184, die zwar keine Schwachstelle für die Ausführung von Remote-Code wie React2Shell darstellt, aber dennoch ein ernstes Risiko für die Verfügbarkeit darstellt.
Tieftauchen
Was ist CVE-2025-55184?
CVE-2025-55184 ist eine Denial-of-Service-Sicherheitslücke, die durch die unsichere Verarbeitung speziell gestalteter Eingaben in der Laufzeitumgebung von React Server Components verursacht wird.
Ein Angreifer kann eine fehlerhafte RSC-Anfrage senden, die:
- Löst eine Endlosschleife aus oder
- Versetzt den Server in einen hängenden Zustand
Nach der Auslösung reagiert der Server möglicherweise nicht mehr auf legitimen Datenverkehr, bis er neu gestartet wird.
Wie es mit React2Shell zusammenhängt
Diese Schwachstellen sind keine unabhängigen Fehler:
- Beide stammen aus dem React Flight-Protokoll, das es ermöglicht, dass strukturierte Daten vom Client das serverseitige Rendering und die Ausführung beeinflussen.
- CVE-2025-55184 wurde bei Audits nach React2Shell entdeckt, als Forscher die angrenzende Deserialisierungslogik untersuchten.
- Weitere damit zusammenhängende Probleme traten auf, darunter:
- CVE-2025-55183 (Quellcode-Exposure)
- CVE-2025-67779 (unvollständige Korrektur für 55184)
- CVE-2025-55183 (Quellcode-Exposure)
Dieses Muster verdeutlicht eine systemische Risikostelle im Serialisierungsdesign von RSC.
Warum Verfügbarkeitsangriffe nach wie vor von Bedeutung sind
Im Gegensatz zu React2Shell:
- Angreifer erhalten keinen Shell-Zugriff.
- Es findet keine willkürliche Codeausführung statt.
Aber:
- Server können aus der Ferne offline genommen werden.
- Angriffe sind nicht authentifiziert
- Wiederholte Ausnutzung kann zu Ausfällen, Leistungseinbußen oder erzwungenen Neustarts führen.
Für viele Teams ist Ausfallzeit genauso schädlich wie Kompromisse.
Wer ist betroffen?
Sie können betroffen sein, wenn Ihre Anwendung:
- Verwendet React-Serverkomponenten
- Führt den Next.js-App-Router aus
- Legt Serverfunktionen oder RSC-Endpunkte offen
- Nach den React/Next.js-Sicherheitshinweisen vom Dezember noch nicht vollständig aktualisiert
Selbst wenn Sie die Serverlogik nicht explizit verwenden, können die Standardwerte des Frameworks dennoch die anfälligen Codepfade offenlegen.
Schweregrad
- CVE-Bewertung: Hoch (Auswirkungen auf die Verfügbarkeit)
- Auswirkung: Denial-of-Service
- Angriffsvektor: Remote, nicht authentifiziert
- Ausnutzbarkeit: Geringe Komplexität
Zeitachse
- Ende November: React2Shell (CVE-2025-55182) veröffentlicht
- Anfang Dezember: Weitere Schwachstellen im RSC entdeckt
- 3. bis 5. Dezember: CVE-2025-55184 offengelegt und gepatcht
- Folgende Tage: Unvollständige Korrektur identifiziert → CVE-2025-67779 ausgegeben
Scannen Sie jetzt Ihre Codebasis
Aikido CVE-2025-55184, CVE-2025-67779 und die umfassendere Familie von RSC-bezogenen Schwachstellen.
Verbinden Sie Ihre Repositorys mit:
- Identifizieren Sie anfällige React- und Next.js-Versionen
- Bestimmen Sie, ob die riskanten RSC-Pfade tatsächlich erreichbar sind.
- Überprüfen Sie, ob Ihre Upgrades das Risiko vollständig beseitigen.
Beginnen Sie kostenlos mit Aikido zu scannen.
Sichern Sie Ihre Software jetzt.
.avif)
