Update: Kritische Schwachstelle in React Server Components und Vercel Next.js

Die Warnmeldung wurde am 15. Dezember 2025 aufgrund weiterführender Informationen aktualisiert. 

Das Entwickler-Team der JavaScript-Bibliothek React Server Components veröffentlichte am 3. Dezember 2025 eine Sicherheitsmeldung zu einer kritischen Schwachstelle in React Server Components und dem Framework Vercel Next.js. In Bezug auf die verschiedenen betroffenen React-Server-Components-Versionen lautet die CVE-Kennung der Sicherheitslücke CVE-2025-55182. Im Rahmen der verwundbaren Next.js-Versionen wird die Schwachstelle als CVE-2025-66478 bezeichnet. Die gemeinsame ENISA-Kennung lautet EUVD-2025-200983.

Die Lücke hat den höchsten CVSS-Score von 10/10 und ermöglicht Angreifenden weitreichende Remote Code Execution (RCE) sowohl in der Bibliothek als auch im Framework. Die jeweiligen betroffenen Versionen und die passenden Updates finden Sie in den unten verlinkten GitHub-Beiträgen zu React Server Components und Next.js.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) publizierte am 4. Dezember 2025 eine Sicherheitswarnung zur Schwachstelle. Darin stellt das BSI weitere Details zur Sicherheitslücke und Mitigationsmaßnahmen für betroffene Systeme bereit. Weiter wird auf Proof of Concepts (PoCs) verwiesen, wodurch die Wahrscheinlichkeit eines Angriffs steigt. Die Sicherheitswarnung finden Sie unten verlinkt.

Das Landesamt für Verfassungsschutz (LfV BW) weist in seiner Veröffentlichung vom 9. Dezember 2025 auf eine Ausnutzung der Sicherheitslücke durch chinesische Akteure hin. Weitere Informationen mit einer Beschreibung der Vorgehensweise und Empfehlungen zur Beseitigung der Lücke finden Sie unten verlinkt. Nach Erkenntnissen der CSBW sind zu der Schwachstelle bislang über 100 Proofs of Concept verfügbar.

Das BSI meldete in einem Update seines Sicherheitshinweises vom 15. Dezember 2025, dass zusätzlich die drei folgenden Schwachstellen in der React-Server-Components-Bibliothek entdeckt wurden:

• CVE-2025-55184 und CVE-2025-67779 mit einem CVSS-Base-Score von 7.5/10 ermöglichen Angreifenden unter bestimmten Umständen Denial-of-Service-Attacken (DoS).
• CVE-2025-55183 mit einem CVSS-Base-Score von 5.3/10 ermöglicht Angreifenden unter bestimmten Umständen, Source-Code einzusehen. 

Laut BSI eigne sich keine der drei zusätzlich gefundenen Schwachstellen als Patch-Bypass. Deshalb seien die Updates zu CVE-2025-55182 weiterhin gegen RCE wirksam, jedoch nicht gegen DoS-Angriffe. Eine Liste der Patches gegen die jeweiligen Schwachstellen sowie Mitigationsmaßnahmen und weitere Details finden Sie in der unten verlinkten BSI-IT-Sicherheitswarnung.

• Installieren Sie umgehend und je nach Konfiguration die passende gepatchte Version Ihrer React-Server-Components-Bibliothek und Ihrer Next.js-Instanz.
• Prüfen Sie mit den veröffentlichten Kompromittierungsindikatoren (IoC: Indicator of Compromise), ob Ihre Umgebung betroffen ist.
• Prüfen Sie Logs, laufende Prozesse und Dateien auf Auffälligkeiten.