Was ist React2Shell? (CVE-2025-55182 und CVE-2025-66478)

Die Sicherheitslücken React CVE-2025-55182 und Next.js CVE-2025-66478, die nun gemeinsam als React2Shell bezeichnet werden, stellen Prototype-Pollution-Bugs dar – allerdings keine traditionellen. Die meisten Prototype-Pollution-Bugs erfordern eine weitere Schwachstelle, um für Angreifende ausnutzbar zu sein – bei diesen genügt jedoch ein einziger Schritt.

Sie sind mit CVSS 10.0 eingestuft, dem höchsten Schweregrad.  Wenn Ihre Systeme betroffen sind, ist sofortiges Handeln erforderlich.

Weitere Informationen Erfahren Sie mehr über CVSS 10,0

„Bin ich betroffen?“ Checkliste

Anfällige Konfigurationen:

  • React-Versionen (19.0, 19.1 und 19.2) in Verbindung mit einer der aufgeführten RSC-Implementierungen: 

  • Next.js 15, 15.1, 15.2, 15.3, 15.4, 15.5, 16 

  • App-Router

  • React Router RSC Vorschau

  • Parcel RSC Plugin

  • Vite RSC Plugin.

Wenn Sie eines dieser Programme ungepatcht verwenden, sind Sie möglicherweise anfällig.

React2Shell Störungshub

Erfahren Sie, wie Sie diese schwerwiegenden Schwachstellen beheben können.

  • Status-Updates

    Das Sicherheitsteam von Fastly liefert Echtzeit-Updates zu der kritischen Remote‑Code‑Execution‑Schwachstelle sowie zu weiteren im React Framework entdeckten Sicherheitslücken.

    Verfolgen Sie den Fortschritt der Störung

  • Ins Visier genommene Branchen und Regionen

    Die Auswirkungen von React2Shell reichen weltweit bis in Unternehmen aller Branchen. Hier sind unsere Beobachtungen und die Maßnahmen, die Unternehmen ergreifen sollten, darunter die sofortige Identifizierung und Behebung von Schwachstellen in Anwendungen.

    Mehr erfahren

  • Kontakt aufnehmen

    Benötigen Sie Unterstützung bei der Behebung? Fühlen Sie sich nicht überfordert – Fastly steht Ihnen zur Seite. Bei Fragen oder Anliegen rund um die React2Shell-Sicherheitslücke kontaktieren Sie uns bitte per E-Mail.

    E-Mail an CVE-alert@fastly.com

Unsere sofortige Reaktion

Am Abend des 1. Dezember 2025 informierte Vercel Fastly über die bevorstehende Veröffentlichung der Schwachstellen, die inzwischen gemeinsam als React2Shell bekannt sind. Unmittelbar nach Eingang dieser Informationen leitete Fastly eine Untersuchung seiner internen Systeme ein und begann mit der Entwicklung von Erkennungsinhalten, um unseren Kunden schnellen, proaktiven Support zu bieten. 

In den folgenden Stunden wurden virtuelle Patches für diese CVEs bereitgestellt, um Unternehmen Zeit zu verschaffen, ihre eigene Gefährdung zu prüfen. Nach aktuellem Stand unserer Untersuchungen ist Fastlys Kernplattform-Infrastruktur nicht von React2Shell betroffen.

Wie Fastly Sie schützt

Um die Ausführung von Remote-Code in Folge der React2Shell-Schwachstelle zu verhindern, wird Fastly-NGWAF-Kunden empfohlen, den virtuellen Patch für CVE-2025-66478 (der auch CVE-2025-55182 behebt) unverzüglich anzuwenden. Am 12. Dezember, nach Hinweisen von Vercel und Meta zu CVE-2025-55184 (Denial of Service) und CVE-2025-55183 (Informationsleck), hat Fastly innerhalb kürzester Zeit einen virtuellen Patch für beide Schwachstellen entwickelt und bereitgestellt. Diese Patches wurden standardmäßig im Blocking Mode für alle Fastly NGWAF-Kunden aktiviert; unsere bestehende Erkennung für CVE-2025-55184 deckt auch automatisch die nachfolgende CVE-2025-67779 ab.

Fastly Compute läuft auf WebAssembly (Wasm), das jede Anforderung strikt isoliert. Diese Architektur verhindert, dass RCE-Exploits die Ausführungsumgebung verlassen, um auf den Host oder die Daten anderer Nutzer zuzugreifen.

Möchten Sie mehr erfahren?