Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Jetzt patchen! Kritische Schadcodelücke bedroht React

34 Aufrufe

Softwareentwickler, die mit React arbeiten, sollten die JavaScript-Programmbibliothek aus Sicherheitsgründen umgehend auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer eine Schwachstelle ausnutzen und Systeme durch das Ausführen von Schadcode vollständig kompromittieren. Sicherheitsupdates sind verfügbar.

Aus einer Warnmeldung geht hervor, dass React Server Components von der „kritischen“ Lücke (CVE-2025-55182) mit Höchstwertung (CVSS Score 10 von 10) betroffen sind. Die Entwickler geben an, dass die Schwachstelle konkret die folgenden Komponenten der React-Ausgaben 19.0, 19.1.0, 19.1.1 und 19.2.0 bedroht:

react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack

Weiterhin führen sie aus, dass wahrscheinlich auch mit React erstellte Apps, die keine React-Server-Funktionen nutzen, verwundbar sind. Allein die Möglichkeit, sie nutzen zu können, reicht für einen möglichen Angriff aus.

Die Entwickler versichern, das Sicherheitsproblem in den Versionen 19.0.1, 19.1.2 und 19.2.1 gelöst zu haben. Die React-Frameworks und Bundler next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc und rwsdk sind ebenfalls verwundbar. Eine Lösung zur Absicherung für diese Fälle wollen die Entwickler nachliefern. Weitere Hinweise zum Ablauf von Updates finden Admins in der Warnmeldung.

Angriffe sollen aus der Ferne und ohne Authentifizierung möglich sein. Bei der App-Entwicklung können Angreifer im Kontext der Kommunikation zwischen Clients und Servern HTTP-Anfragen manipulieren und letztlich Schadcode ausführen. Weitere Details zur Schwachstelle sollen zu einem späteren Zeitpunkt folgen.

Ein Sicherheitsforscher hat die React-Schwachstelle in Anspielung auf die Log4j-Lücke React2Shell getauft. In einem Beitrag von ihm auf X dazu steht ein Hashwert. Zum jetzigen Zeitpunkt ist unklar, welchen Ursprung dieser Wert hat. Ein Zusammenhang zu einem Proof of Concept Exploit (PoC) liegt nahe. Dagegen spricht aber die Aussage von Tenable-Sicherheitsforschern, dass es derzeit keine Hinweise auf einen PoC zum Attackieren von Instanzen mit Standardkonfigurationen gibt.

Jetzt heise security PRO entdecken

Jetzt heise security PRO entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Autor: Heise
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Festnahmen in den USA nach Löschorgie staatlicher ...
"Passwort" Folge 46: News von Würmern, Schluckauf ...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 08. Dezember 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung