Kritische RCE-Schwachstelle in React Server Components (CVE-2025-55182) Am 29. November wurde eine schwerwiegende Sicherheitslücke in React gemeldet, die unauthentifizierte Remote Code Execution (RCE) ermöglicht. Ursache ist ein Fehler in der Deserialisierung von Payloads, die an React Server Function-Endpunkte gesendet werden. Besonders kritisch: Auch Apps ohne Server Functions können betroffen sein, sofern sie React Server Components (RSC) unterstützen.
Die Schwachstelle betrifft die Pakete:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
in den Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0.
Das Problem wurde als CVE-2025-55182 veröffentlicht und mit CVSS 10.0 bewertet.
Ein sofortiges Update ist zwingend erforderlich.
Gefixt wurde das Problem in den Versionen 19.0.1, 19.1.2 und 19.2.1. Auch zahlreiche Frameworks/Bundler sind betroffen, u.a.: Next.js, React Router (RSC APIs), Waku, @parcel/rsc, @vitejs/plugin-rsc, RedwoodSDK.
Hosting-Provider haben temporäre Mitigations implementiert, ersetzen aber kein Update.
Ein Angreifer kann speziell präparierte HTTP-Requests an einen Server-Function-Endpunkt senden. Bei der Deserialisierung durch React kann daraus beliebiger Code auf dem Server ausgeführt werden. Weitere technische Details werden nach vollständigem Rollout der Fixes veröffentlicht.
Sofortige Updates auf gepatchte Versionen der RSC-Bibliotheken.
Framework-spezifische Updates (z. B. Next.js 15/16 – je nach Release-Line).
Prüfen, ob die App RSC oder RSC-Kompatibilität im Bundler nutzt.
Falls kein Server genutzt wird: keine Betroffenheit.
29.11.: Meldung durch Lachlan Davidson
30.11.: Bestätigung durch Meta Security
01.12.: Entwicklung und Validierung des Fixes
03.12.: Veröffentlichung der Fixes auf npm; Disclosure als CVE-2025-55182
Weitere Informationen durch den Hersteller/Anbieter: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components