Zero-Click-Exploit

Check Point erklärt brisante React2Shell-Server-Sicherheitslücke

, Check Point

Die unsichtbare Gefahr im Fundament moderner Web-Anwendungen – Zero-Click-Exploit

Von Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point Software Technologies

Anfang Dezember 2025 veröffentlichte das React-Team eine Warnung, die viele Unternehmen aufhorchen ließ: In einer neuen Server-Funktion von React – einer der meistgenutzten Technologien für moderne Websites und digitale Services – wurde eine kritische Sicherheitslücke entdeckt. Sicherheitsforscher gaben ihr den Namen React2Shell (CVE-2025-55182) und bewerteten sie mit dem Höchstwert CVSS 10.0.

Der Grund für diese Einstufung ist einfach – und beunruhigend: Angreifer können über eine speziell präparierte Anfrage beliebigen Code auf dem Server ausführen, ganz ohne Anmeldung, ohne Passwort und ohne jede Benutzerinteraktion. Ein einziger gezielter Request genügt.

Wie React2Shell funktioniert – ohne Fachchinesisch

Normalerweise läuft der Austausch zwischen Browser und Server bei einer React-Anwendung kontrolliert ab: Der Browser stellt eine Anfrage, React verpackt diese, der Server entpackt sie und verarbeitet die Inhalte. Genau hier setzt React2Shell an. Durch einen Fehler im Decodierungsprozess kann eine manipulierte Anfrage so verarbeitet werden, dass der Server sie fehlinterpretiert. Das Ergebnis: Der Angreifer schleust eigenen Code ein – und der Server führt ihn aus.

Das Entscheidende dabei:

Eine öffentlich erreichbare Website, die React Server Components nutzt, kann so unbemerkt zur offenen Hintertür werden – selbst dann, wenn die neuen Server-Funktionen gar nicht bewusst eingesetzt werden.

Was das in der Praxis bedeutet

Betroffen sind typische kundennahe Web-Anwendungen, etwa:

Über React2Shell können Angreifer unter anderem:

Kurz gesagt: Digitale Erlebnisse, die Umsatz generieren, Vertrauen schaffen und den täglichen Betrieb sichern sollen, können im Hintergrund übernommen werden – ohne dass es jemand bemerkt. Das ist kein theoretisches Szenario. React bildet das Rückgrat moderner digitaler Customer Journeys. Wenn dieses Fundament Risse hat, wirkt sich das unmittelbar auf das gesamte Unternehmen aus.

Wer konkret betroffen ist – und wer nicht

Anfällig sind alle Anwendungen, die React Server Components einsetzen, insbesondere:

Nicht betroffen sind Anwendungen, bei denen React ausschließlich im Browser läuft – also ohne serverseitige Verarbeitung – oder bei denen keine RSC-fähigen Tools und Bundler zum Einsatz kommen.

Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point

Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point Software Technologies: "React2Shell ist kein hypothetisches Szenario, sondern eine akute Schwachstelle, die derzeit aktiv ausgenutzt wird – mit realen Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit von Anwendungen und Daten. Abwehren lässt sich diese Cyber-Attacke am besten durch Prävention, wozu auch ein sauberes und regelmäßiges Patch-Management gehört, um alle Anwendungen auf dem jüngsten Stand der Bedrohungslage zu halten. Daneben sind all jene nicht betroffen, deren Sicherheitslösungen aufgrund technischer Feinheiten in der Lage sind bösartige Payloads zu erkennen und zu blockieren, bevor überhaupt eine CVE-Regel existiert.“

Die eigentliche Gefahr: versteckte Abhängigkeiten

Die Brisanz von React2Shell liegt nicht nur in der Schwere der Lücke selbst, sondern in der Art, wie moderne Web-Anwendungen gebaut sind. React wird selten allein verwendet. Stattdessen ist es Teil eines komplexen Ökosystems aus Frameworks, Build-Tools, Server-Laufzeiten und Bibliotheken. Genau hier entsteht das Risiko:

Die Schwachstelle sitzt nicht direkt im React-Kern, sondern in zusätzlichen Paketen für React Server Components, etwa react-server-dom-*. Diese werden häufig automatisch eingebunden – ohne dass Entwickler sie bewusst konfigurieren oder überhaupt wahrnehmen.

Die Folge: Ein Team kann React aktualisieren und dennoch verwundbar bleiben, weil im Hintergrund weiterhin eine anfällige Abhängigkeit aktiv ist. Viele Frameworks, insbesondere Next.js, kapseln diese Komponenten tief in ihrer Architektur. Daraus entstehen sogenannte transitive Abhängigkeiten – also Bibliotheken, die indirekt eingebunden werden und sich der direkten Kontrolle entziehen.

Das hat drei sicherheitsrelevante Konsequenzen:

  1. Ein einzelnes Update reicht nicht aus: React allein zu patchen genügt nicht, wenn abhängige RSC-Komponenten ungepatcht bleiben.
  2. Framework-Anbieter bestimmen das Tempo: selbst gut vorbereitete Teams sind darauf angewiesen, dass Frameworks ihre Integrationen zeitnah aktualisieren.
  3. Risiken bleiben oft unsichtbar: Ohne vollständige Analyse des Dependency-Baums ist kaum erkennbar, ob eine Anwendung wirklich abgesichert ist.

React2Shell ist damit ein klassisches Supply-Chain-Risiko auf Anwendungsebene: Nicht der eigene Code ist fehlerhaft, sondern ein Baustein tief im Stack – mit potenziell gravierenden Folgen.

Die Annahme „Wir haben React aktualisiert, also sind wir sicher“ ist daher gefährlich. Sicherheit entsteht nur durch ein echtes Verständnis der eingesetzten Frameworks, ihrer Abhängigkeiten und der tatsächlichen Laufzeitpfade im Backend.

Warum die Schwachstelle so kritisch ist

Was Sie jetzt tun sollten

Wenn Sie React-Anwendungen betreiben, gilt:

  1. Prüfen Sie Ihre Betroffenheit: Analysieren Sie gemeinsam mit IT- und Entwicklerteams, ob anfällige Komponenten eingesetzt werden.
  2. Patchen Sie priorisiert: Verfügbare Updates sollten so schnell wie möglich eingespielt werden.
  3. Überbrücken Sie Patch-Zeiten aktiv: Wenn Updates nicht sofort möglich sind, sind zusätzliche Schutzmechanismen wie eine Web Application Firewall (WAF) entscheidend.

Warum Prävention entscheidend ist

Am 5. Dezember 2025 reagierte Cloudflare mit einer Notfallmaßnahme auf React2Shell. Dabei kam es jedoch zu einer unbeabsichtigten Änderung in der Analyse von HTTP-Anfragen – mit drastischen Folgen: Zahlreiche Websites fielen weltweit mit 500 Internal Server Errors aus. Später stellte Cloudflare klar, dass kein externer Angriff verantwortlich war, sondern der Notfall-Patch selbst. Dieser Vorfall zeigt deutlich: Eine Schwachstelle auf Framework-Ebene kann nicht nur einzelne Anwendungen, sondern die gesamte Internet-Infrastruktur beeinflussen. Deshalb sind kontrollierte Rollouts, mehrschichtige Verteidigungsstrategien und präventionsorientierte Sicherheitsansätze unverzichtbar. Kunden, die etwa auf CloudGuard WAF setzten, waren von React2Shell-Exploit-Versuchen nicht betroffen.

Der Grund:

Interne Tests zeigten, dass selbst öffentliche Proof-of-Concept-Exploits zuverlässig blockiert wurden – ohne manuelle Eingriffe oder Notfall-Updates. Zusätzliche, speziell auf React Server Components zugeschnittene Schutzmechanismen erhöhen diese Sicherheit weiter, bei gleichzeitig sehr niedrigen False-Positive-Raten.

Aktuelle Lage: React2Shell wird aktiv ausgenutzt

React2Shell ist längst kein theoretisches Risiko mehr. Sicherheitsforscher und große Cloud-Anbieter beobachten aktive Angriffskampagnen. Laut Berichten der Threat-Intelligence-Community, unter anderem von Microsoft, wurden bereits mehrere hundert Systeme kompromittiert.

Nach der initialen Ausnutzung folgt oft:

Besonders perfide: Die schädlichen Anfragen sind in normalen Web-Traffic eingebettet und wirken auf den ersten Blick legitim – was klassische Erkennungsmechanismen aushebelt. Öffentlich erreichbare Anwendungen mit React Server Components stehen dabei besonders im Fokus.

Fazit

React2Shell ist eine akute, real ausgenutzte Schwachstelle mit direkten Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit von Anwendungen und Daten. Der beste Schutz ist Prävention: regelmäßiges Patch-Management, vollständige Transparenz über Abhängigkeiten und Sicherheitslösungen, die Angriffe erkennen und blockieren können – noch bevor eine konkrete CVE-Regel existiert. Denn in der heutigen Bedrohungslage zählt nicht nur, wie schnell man reagiert, sondern wie gut man vorbereitet ist.

© 2017 Infopoint Security
Impressum/Datenschutz