Critical Bugs in React and Next.js Allow RCE [SOLVED]

[Ralph]

https://thehackernews.com/2025/12/criti ... extjs.html


Mod-Edit:

Kritische Sicherheitslücken in React Server Components (RSC) und Next.js

Es wurde eine maximale Sicherheitslücke (CVSS 10.0) in React Server Components offengelegt, die unautorisierten Remote Code Execution (RCE) ermöglicht. Die Schwachstelle CVE-2025-55182 betrifft React-Versionen 19.0 bis 19.2.0 (Pakete wie react-server-dom-webpack usw.) und entsteht durch unsichere Deserialisierung von RSC-Payloads an Server-Function-Endpunkten – selbst Apps ohne eigene Endpunkte sind betroffen, wenn RSC unterstützt wird.​

Next.js ist ebenfalls vulnerabel (ursprünglich CVE-2025-66478, nun als Duplikat von CVE-2025-55182 markiert), ab Version 14.3.0-canary.77, 15.x und 16.x mit App Router. Weitere betroffene Tools: Vite RSC Plugin, Parcel, React Router RSC, RedwoodJS, Wiz schätzt 39% der Cloud-Umgebungen als gefährdet.​

Patches sind verfügbar:

React: 19.0.1, 19.1.2, 19.2.1
Next.js: 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5
Sofort updaten! Keine Wild-Exploits bekannt, aber hohes Risiko durch einfache Ausnutzung.​
Die Lücke wurde am 29.11.2025 von Lachlan Davidson gemeldet und am 03.12.2025 gepatcht.




Moderativer Hinweis:
Erklärung des Sachverhalts ergänzt.

[Tobi]

Was willst du uns mit deinem Posting sagen?
KeyHelp nutzt kein React und auch kein Next.js

[Ralph]

Was willst du uns mit deinem Posting sagen?
KeyHelp nutzt kein React und auch kein Next.js

Dadurch werden Attacken über kompromittierte Devices (Botnets expandieren) zwangläufig zusätzlich zu der momentan extrem hohen Anzahl an Attacken weiter sprunghaft ansteigen, die Folgen werden also spürbar sein, auch wenn ein Hosting Panel kein next.js verwendet.
Next.js wird für eine breite Palette moderner Webanwendungen genutzt, von großen E-Commerce-Seiten über Content-Plattformen bis hin zu dynamischen SaaS-Anwendungen ... wobei große Namen wie Netflix, Uber, TikTok, Nike und Spotify es einsetzen ... u.a. auch Anwendungen auf Desktop-Betriebssystemen nutzen Node.js ggf. auch CMS und Shop Anwendungen (Plugins) sowie bei einigen Cloud Umgebungen ist es in Verwendung.
https://www.cert.at/de/aktuelles/2025/1 ... und-nextjs

[Tobi]

Mag ja sein, aber all das hat mit KeyHelp nix zu tun.
Im Gegenteil, dein Posting kann bestimmte Teile unserer User verunsichern.

[Jolinar]

Im Gegenteil, dein Posting kann bestimmte Teile unserer User verunsichern.

Ich hab den Kontext noch mal im Startpost ergänzt. So sollte für den Durchschnittsuser erkennbar sein, daß kein direkter Bezug zum Panel vorhanden ist.

[Ralph]

Mag ja sein, aber all das hat mit KeyHelp nix zu tun.
Im Gegenteil, dein Posting kann bestimmte Teile unserer User verunsichern.

Nein mit KH hat es an sich nichts zu tun, deshalb habe ich diese Info ja auch hier ins OT gepackt, bzgl KH braucht sich also diesbezgl. niemand verunsichert zu fühlen, es betrifft im Grunde ja auch nur ein paar Internet User u. Administratoren haben derweil weiniger Langeweile

[Ralph]

Ich hab den Kontext noch mal im Startpost ergänzt. So sollte für den Durchschnittsuser erkennbar sein, daß kein direkter Bezug zum Panel vorhanden ist.

Ich danke dir!

[Jolinar]

@Ralph:
Ich finde es grundsätzlich immer gut, wenn auf bestehende Lücken hingewiesen wird...auch wenn es wie in diesem Fall das Panel garnicht direkt betrifft.
Ich würde dich nur für die Zukunft bitten, nicht nur einfach einen Link ohne Kontext zu posten, sondern den Kontext direkt mitzuliefern.
Danke.

[Tobi]

Ich würde es noch besser finden wenn wir uns hier auf eventuelle Probleme von KeyHelp beschränken würden.
Wir veröffentlichen hier auch keine Rückrufaktionen von Autoherstellern oder bei Problemen mit Lebensmitteln.
Denn dafür gibt es zurecht spezialisierte Foren.

Und wir hier sind das Spezialforum rund um KeyHelp.

[Ralph]

@Ralph:
Ich finde es grundsätzlich immer gut, wenn auf bestehende Lücken hingewiesen wird...auch wenn es wie in diesem Fall das Panel garnicht direkt betrifft.
Ich würde dich nur für die Zukunft bitten, nicht nur einfach einen Link ohne Kontext zu posten, sondern den Kontext direkt mitzuliefern.
Danke.

Ja, normalerweise gebe ich Details/Infos mit an ... heute morgen kam ein Vorfall dazwischen und am Ende konnte ich nichts mehr daran ändern. War ein stressiger Sonntag für mich. Hast Du sehr gut genacht, es gleich im Startpost hinzuzufügen, Danke.