React Server Components
Die Schwachstelle betrifft React Server Components von Meta, genauer die Pakete für die Anbindung an gängige Build-Werkzeuge (react-server-dom-parcel, react-server-dom-turbopack und react-server-dom-webpack). Der Kern des Defekts liegt darin, dass der serverseitige Code Daten aus HTTP-Anfragen, die an sogenannte Server-Function-Endpunkte gerichtet sind, auf unsichere Weise deserialisiert – also Inhalte einer Anfrage ohne ausreichende Prüfung wieder in Programmobjekte umwandelt. Dadurch kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung präparierte Daten an einen solchen Endpunkt senden und auf dem Server beliebigen Code zur Ausführung bringen. Da weder gültige Zugangsdaten noch eine Anmeldung erforderlich sind, ist die Hürde für einen Angriff sehr niedrig. Betroffen sind Webanwendungen, die React Server Components mit Server-Functions einsetzen und deren Endpunkte über das Netzwerk erreichbar sind; ein erfolgreicher Angriff kann zur vollständigen Übernahme des Servers führen.
Setzen Sie die vom Hersteller beschriebenen Gegenmaßnahmen um. Stehen keine Gegenmaßnahmen zur Verfügung, sollten Sie den Einsatz des betroffenen Produkts einstellen.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel PCPJack: Wurm verdrängt TeamPCP-Infektionen und stiehlt Zugangsdaten 08.05.2026
- Artikel China-nahe Hackergruppen attackieren Regierungen in Asien, NATO-Staat sowie Journalisten und Aktivisten 01.05.2026
- Artikel Automatisierte Kampagne nutzt React2Shell-Lücke zum massenhaften Diebstahl von Zugangsdaten 06.04.2026
- Artikel Credential-Harvesting-Kampagne: Angreifer kompromittieren 766 Next.js-Server über CVE-2025-55182 02.04.2026
- Artikel Spionageverdächtige Gruppe scannt mit "ILovePoop" weltweit nach React2Shell-Lücke 28.02.2026
- Artikel Wurmfähige XMRig-Kampagne nutzt anfälligen Treiber und zeitgesteuerte Logikbombe 28.02.2026