Neuer React-Fehler, der alle Ihre Token abziehen kann, betrifft „tausende von“ Websites

Ein kritische Sicherheitslücke In React Server Components wird derzeit aktiv von mehreren Bedrohungsgruppen ausgenutzt, was tausende von Websites – einschließlich Krypto-Plattformen – einem unmittelbaren Risiko aussetzt, wobei betroffene Nutzer möglicherweise den Verlust all ihrer Vermögenswerte erleiden.

Die Schwachstelle, erfasst unter CVE-2025-55182 und mit dem Spitznamen React2Shell, ermöglicht Angreifern die Ausführung von Code aus der Ferne auf betroffenen Servern ohne Authentifizierung. Die Verantwortlichen von React haben das Problem am 3. Dezember bekanntgegeben und ihm die höchstmögliche Schwerebewertung zugewiesen.

Kurz nach der Offenlegung beobachtete GTIG eine weitverbreitete Ausnutzung durch sowohl finanziell motivierte Kriminelle als auch mutmaßlich staatlich unterstützte Hackergruppen, die ungeschützte React- und Next.js-Anwendungen in Cloud-Umgebungen ins Visier nahmen.

Was die Schwachstelle bewirkt

React Server Components werden verwendet, um Teile einer Webanwendung direkt auf einem Server auszuführen, anstatt im Browser des Nutzers. Die Schwachstelle ergibt sich aus der Art und Weise, wie React eingehende Anfragen an diese serverseitigen Funktionen dekodiert.

Einfach ausgedrückt können Angreifer eine speziell gestaltete Webanfrage senden, die den Server dazu verleitet, willkürliche Befehle auszuführen oder dem Angreifer effektiv die Kontrolle über das System zu übergeben.

Der Fehler betrifft die React-Versionen 19.0 bis 19.2.0, einschließlich der von beliebten Frameworks wie Next.js verwendeten Pakete. Bereits die Installation der verwundbaren Pakete reicht oft aus, um eine Ausnutzung zu ermöglichen.

Wie Angreifer es nutzen

Die Google Threat Intelligence Group (GTIG) dokumentierte mehrere aktive Kampagnen, die diese Sicherheitslücke ausnutzen, um Malware, Hintertüren und Krypto-Mining-Software zu verbreiten.

Einige Angreifer begannen bereits wenige Tage nach der Veröffentlichung der Schwachstelle, diese auszunutzen, um Monero-Mining-Software zu installieren. Diese Angriffe verbrauchen unauffällig Serverressourcen und Elektrizität, generieren Gewinne für die Angreifer und beeinträchtigen gleichzeitig die Systemleistung bei den Opfern.

Krypto-Plattformen setzen stark auf moderne JavaScript-Frameworks wie React und Next.js und bearbeiten häufig Wallet-Interaktionen, Transaktionssignaturen sowie Genehmigungen über Front-End-Code.

Wenn eine Website kompromittiert wird, können Angreifer bösartige Skripte einschleusen, die Wallet-Interaktionen abfangen oder Transaktionen auf ihre eigenen Wallets umleiten— selbst wenn das zugrunde liegende Blockchain-Protokoll sicher bleibt.

Dies macht Front-End-Schwachstellen insbesondere für Nutzer, die Transaktionen über Browser-Wallets signieren, besonders gefährlich.