Kritische Schwachstelle in React Server Components

Die React2Shell ist eine als kritische eingestufte Sicherheitslücke in React bzw. in dessen „Server Components und wird unter dem CVE-2025-55182 mit einer Bewertung von CVSS 10.0 gelistet.

React JS ist eine Open Source JavaScript-Bibliothek und gehört zu den am meisten genutzten Frontend-Frameworks für Webanwendungen zum erstellen von Benutzeroberflächen. Daher ist es sehr verbreitet und es können Millionen Webanwendungen betroffen sein.

Nicht alle Hersteller reagieren auf diese Lücke und geben entweder Entwarnung oder veröffentlichen Patches und oft weiß man als Betreiber gar nicht, ob die eingesetzten Webandwendungen betroffen sind.

Daher empfiehlt sich die eigene Prüfung der Webanwendungen mittels der veröffentlichen React2Shell Scanner.

Wir bedienen uns hier des React2Shell Scanner aus dem Github Repository von Assetnote Security Research Team: https://github.com/assetnote/react2shell-scanner/tree/master und nutzen das Script unter Linux.

Als erstes wechseln wir in das Verzeichnis /opt und installieren die notwendigen Abhängigkeiten:

Nun laden wir uns das Script aus dem GitHub Repository herunter und wechseln in das neue Verzeichnis:

Das Script nutzt Python und daher installieren wir python und pip:

Die weiteren Python Abhängigkeiten sind in der requirements.txt enthalten und können wir mit folgendem Befehl installieren:

Nun können wir entweder eine einzelne Webanwendung scannen:

Oder wir tragen mehrere Webanwendungen in die hosts.txt ein, je Zeile eine Weburl im Format https://example.com

Damit das Script die hosts.txt Datei beachtet, starten wir den Scan mit:

Das Ergebnis sieht wie folgt aus:

Gerne beraten wir Sie und testen Ihre Webanwendung auf die React Server Components Schwachstelle. Nutzen Sie unser Kontaktformular für eine unverbindliche Anfrage.