Zusammenfassung
Unsere Partner haben uns darüber informiert, dass eine neu offengelegte Schwachstelle CVE-2025-55182, die mehrere React-basierte Frameworks betrifft, einen kritischen Fehler bei der Verarbeitung eingehender Flight-Anfragen durch das Protokoll der Serverfunktionen von React aufzeigte. Das Next.js-Team veröffentlichte eine separate Empfehlung, CVE-2025-66478, um die Auswirkungen dieser Schwachstelle zu verfolgen und zu dokumentieren.
Es wurden keine im freien Internet beobachteten Exploits dieser Schwachstelle festgestellt. Dennoch hat Akamai eine Adaptive Security Engine Rapid Rule implementiert, um unsere Kunden vor dieser Bedrohung zu schützen.
Schwachstellendetails
Im Mittelpunkt des Problems steht die unsichere Deserialisierung, bei der von Angreifern gesteuerte Eingaben ohne ausreichende Validierung oder Bereinigung geparst und erweitert werden. Hinweis: Diese Schwachstelle erfordert keinerlei Authentifizierung, wodurch sie trivial und einfacher auszunutzen ist.
Während dieses Prozesses erweitert der Deserialisierungsmechanismus die Objekteigenschaften implizit, wodurch er anfällig für Prototypenverschmutzung wird. Durch das Injizieren schädlicher Schlüssel in den Datenstrom kann ein Angreifer grundlegende Objektprototypen manipulieren und so das Verhalten der Webanwendung zur Laufzeit verändern.
Wenn dieses Primitiv mit spezifischen Ausführungspfaden in React Server Components kombiniert wird, kann der Angriff eskaliert werden, um eine Remotecodeausführung (RCE) auf dem Zielserver zu erreichen. Dieses Risiko ist besonders bei Webanwendungen sehr hoch, die stark auf React Server Components und das umfassendere Ausführungsmodell von Server Functions angewiesen sind, bei denen Vertrauensgrenzen eng mit Serialisierungsprotokollen verknüpft sind. (Weitere Informationen finden Sie im Blogbeitrag des React-Teams.)
Die Schwachstelle besteht in den Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 von:
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
Die folgenden Frameworks und Bundler sind betroffen:
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Abwehr mit Akamai App & API Protector
Am 3. Dezember 2025 stellte Akamai eine Adaptive Security Engine Rapid Rule für Kunden von App & und API Protector bereit, um eine vollständige Abdeckung zu gewährleisten.
3000976 – React-RCE-Angriffe erkannt (CVE-2025-55182)
Zusammenfassung
Eine neue Regel in Akamai App & API Protector wurde implementiert, um unsere Kunden vor dieser Bedrohung zu schützen. Den effektivsten Schutz erhalten Sie jedoch nur, wenn Sie die vom Anbieter bereitgestellten Patches umgehend anwenden. Aufgrund des Schweregrads dieses Problems sollten alle Patches so bald wie möglich installiert werden.
Die Akamai Security Intelligence Group wird weiterhin sowohl für unsere Kunden als auch für die gesamte Sicherheitscommunity solche Bedrohungen überwachen, Berichte darüber erstellen und Maßnahmen zur Abwehr entwickeln. Besuchen Sie unsere Forschungs-Homepage und folgen Sie uns in den sozialen Medien, um über weitere Neuigkeiten von der Akamai Security Intelligence Group informiert zu werden.
Tags
