Akamai übernimmt LayerX, um die Kontrolle der KI-Nutzung in jedem Browser durchzusetzen. Weitere Informationen

CVE-2025-55182: Deserialisierungs-RCE bei Server Functions von React und Next.js

Teilen

Zusammenfassung

Unsere Partner haben uns darüber informiert, dass eine neu offengelegte Schwachstelle CVE-2025-55182, die mehrere React-basierte Frameworks betrifft, einen kritischen Fehler bei der Verarbeitung eingehender Flight-Anfragen durch das Protokoll der Serverfunktionen von React aufzeigte. Das Next.js-Team veröffentlichte eine separate Empfehlung, CVE-2025-66478, um die Auswirkungen dieser Schwachstelle zu verfolgen und zu dokumentieren.

Es wurden keine im freien Internet beobachteten Exploits dieser Schwachstelle festgestellt. Dennoch hat Akamai eine Adaptive Security Engine Rapid Rule implementiert, um unsere Kunden vor dieser Bedrohung zu schützen.

Schwachstellendetails

Im Mittelpunkt des Problems steht die unsichere Deserialisierung, bei der von Angreifern gesteuerte Eingaben ohne ausreichende Validierung oder Bereinigung geparst und erweitert werden. Hinweis: Diese Schwachstelle erfordert keinerlei Authentifizierung, wodurch sie trivial und einfacher auszunutzen ist.

Während dieses Prozesses erweitert der Deserialisierungsmechanismus die Objekteigenschaften implizit, wodurch er anfällig für Prototypenverschmutzung wird. Durch das Injizieren schädlicher Schlüssel in den Datenstrom kann ein Angreifer grundlegende Objektprototypen manipulieren und so das Verhalten der Webanwendung zur Laufzeit verändern.

Wenn dieses Primitiv mit spezifischen Ausführungspfaden in React Server Components kombiniert wird, kann der Angriff eskaliert werden, um eine Remotecodeausführung (RCE) auf dem Zielserver zu erreichen. Dieses Risiko ist besonders bei Webanwendungen sehr hoch, die stark auf React Server Components und das umfassendere Ausführungsmodell von Server Functions angewiesen sind, bei denen Vertrauensgrenzen eng mit Serialisierungsprotokollen verknüpft sind. (Weitere Informationen finden Sie im Blogbeitrag des React-Teams.)

Die Schwachstelle besteht in den Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 von:

  • react-server-dom-webpack

  • react-server-dom-parcel

  • react-server-dom-turbopack

Die folgenden Frameworks und Bundler sind betroffen:

  • next

  • react-router

  • waku

  • @parcel/rsc

  • @vitejs/plugin-rsc

  • rwsdk

Abwehr mit Akamai App & API Protector

Am 3. Dezember 2025 stellte Akamai eine Adaptive Security Engine Rapid Rule für Kunden von App & und API Protector bereit, um eine vollständige Abdeckung zu gewährleisten.

  • 3000976 – React-RCE-Angriffe erkannt (CVE-2025-55182)

Zusammenfassung

Eine neue Regel in Akamai App & API Protector wurde implementiert, um unsere Kunden vor dieser Bedrohung zu schützen. Den effektivsten Schutz erhalten Sie jedoch nur, wenn Sie die vom Anbieter bereitgestellten Patches umgehend anwenden. Aufgrund des Schweregrads dieses Problems sollten alle Patches so bald wie möglich installiert werden.

Die Akamai Security Intelligence Group wird weiterhin sowohl für unsere Kunden als auch für die gesamte Sicherheitscommunity solche Bedrohungen überwachen, Berichte darüber erstellen und Maßnahmen zur Abwehr entwickeln. Besuchen Sie unsere Forschungs-Homepage und folgen Sie uns in den sozialen Medien, um über weitere Neuigkeiten von der Akamai Security Intelligence Group informiert zu werden.

Tags

Teilen

Verwandte Blogbeiträge

Cybersicherheit
Das L in Linux steht für laterale Netzwerkbewegung
June 28, 2023
Laterale Netzwerkbewegung betrifft nicht nur Windows-Systeme. Damit Sie sich schützen können, wollen wir uns die Protokolle in Linux ansehen, die für laterale Netzwerkbewegungen verwendet werden können.
Cybersicherheit
Du hattest mich schon beim „Hi“ – der Mirai-basierte NoaBot tritt in Erscheinung
January 10, 2024
Sicherheitsforscher von Akamai haben eine neue Kryptomining-Kampagne namens NoaBot entdeckt, die ein nutzerdefiniertes Mirai-Botnet verwendet, das von den Bedrohungsakteuren modifiziert wurde.
Forschung
Shai-Hulud im Miniaturformat: Der Wurm kehrt zurück und wird öffentlich verfügbar
Erfahren Sie mehr über den Shai-Hulud-Angriff auf die Lieferkette im Jahr 2026: Erfahren Sie, wie sich TeamPCP CI-Cache Poisoning und OIDC-Missbrauch innerhalb der schädlichen Payload zunutze macht.