Kurze Durchsage: Wer von euch Web-Hipstern dachte, es sei eine geile Idee, JavaScript nicht nur im Browser, sondern auch noch tief im Server-Core als „Server Components“ auszuführen, darf sich jetzt mal kräftig auf die Schulter klopfen. Ihr habt es geschafft. Wir haben einen neuen Log4Shell-Moment, nur diesmal in JavaScript.

Das BSI (ja, sogar die Behörden sind schon wach!) warnt aktuell vor einer katastrophalen Lücke in React Server Components (RSC) und Next.js. Und wenn ich „Warnung“ sage, meine ich: CVSS 10 von 10. Die Hütte brennt lichterloh.

Der Spaß nennt sich in Fachkreisen mittlerweile „React2Shell“. Klingt niedlich? Ist es aber nicht. Es ist der GAU für eure gehypten Full-Stack-Frameworks.

Was ist passiert?

Die Kurzfassung: Wenn ihr React Server Components nutzt (und das tun quasi alle modernen Next.js-Buden), können Angreifer ohne Authentifizierung aus der Ferne beliebigen Code auf euren Servern ausführen (RCE).

Das betrifft nicht irgendeine Nischen-Lib, sondern den heiligen Gral der Webentwicklung:

• Next.js (Der Elefant im Raum)
• React Router, Expo, Redwood SDK, Vite, Parcel, Waku
• Betroffene Pakete: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack.

Die betroffenen Versionen sind:

• React: 19.0, 19.1.0, 19.1.1, 19.2.0
• Next.js hat dafür sogar eine eigene CVE bekommen (CVE-2025-66478), weil es so schön kaputt ist, auch wenn die NVD das gerade bürokratisch hin und her schiebt.

Warum ihr Panik schieben solltet

Weil es trivial auszunutzen ist. Die Sicherheitsforscher sagen, sie konnten in Experimenten nahezu 100% der getesteten Systeme übernehmen. Kein kompliziertes Brute-Forcing, kein Social Engineering. Einfach ein paar Requests an die API ballern und zack – Shell.

Und wer nutzt den Kram? Laut Wiz läuft Next.js in 70% aller Cloud-Umgebungen weltweit. Davon hängen 44% direkt mit dem Hintern im offenen Internet. Das bedeutet: 39% aller Cloud-Umgebungen sind gerade potenziell offen wie ein Scheunentor.

Die Chinesen sind schon drin (kein Witz)

Das ist keine theoretische Übung. AWS meldet bereits aktive Ausnutzungsversuche. Und zwar nicht von Skript-Kiddies, sondern von „China-nahen, staatlichen Akteuren“. Die scannen das Netz ab, feuern ihre Payloads rein und schauen, was kleben bleibt.

Es gibt bereits öffentliche Proof-of-Concept Exploits. Jeder, der Google bedienen kann, kann jetzt eure „moderne Web-App“ kaputtmachen.

Indikatoren (IoCs) – Seid ihr schon owned?

Guckt in eure Logs. Jetzt. AWS hat Indikatoren veröffentlicht:

• HTTP-POST-Requests mit Headern wie next-action oder rsc-action-id.
• Request-Bodies, die $@-Muster enthalten oder "status":"resolved_model".
• Wenn euer Node-Prozess plötzlich whoami, id oder uname ausführt oder versucht, /etc/passwd zu lesen: Herzlichen Glückwunsch, ihr habt Besuch.

Was tun? (Außer Weinen)

Patcht den Mist. Sofort. Das BSI empfiehlt (nein, befiehlt durch die Blume) folgende Versionen zu installieren:

• React: Update auf 19.0.1, 19.1.2 oder 19.2.1
• Next.js: Update auf 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 oder 16.0.7

Wenn ihr das nicht könnt (weil Legacy-Hölle oder unfähige Dienstleister): WAF davor schnallen könnte helfen (Vercel und Co. haben Regeln), aber das BSI sagt ganz trocken: Wir wissen nicht, ob das wirklich alles abfängt. Patch ist die einzige echte Lösung.

Fazit: Wir bauen riesige Türme aus Abstraktionsschichten, lagern Logik auf den Server aus, die da nichts zu suchen hat, und wundern uns dann, dass uns alles um die Ohren fliegt. Wer React Server Components im offenen Netz betreibt und jetzt nicht patcht, handelt grob fahrlässig.

Viel Glück. Ihr werdet es brauchen.