• Information

React-Lücke: NoSpamProxy ist nicht betroffen

Experten warnen vor einer kritischen Sicherheitslücke in den React Server Components (RSC), die einem Bestandteil des beliebten JavaScript-Frameworks React sind. Angreifer können dadurch aus der Ferne eigenen Code auf anfälligen Servern ausführen. Auch das bekannte Framework Next.js ist betroffen. Für NoSpamProxy-Kunden besteht keine Gefahr.

12.12.2025|zuletzt aktualisiert:12.12.2025

Um welche Sicherheitslücke geht es?

Die neu entdeckte Sicherheitslücke CVE-2025-55182 in React Server Components betrifft nicht nur React selbst, sondern auch populäre Frameworks wie „Next.js”. Aktuellen Analysen zufolge sind rund 39 % aller Cloud-Umgebungen potenziell gefährdet.

Besagte Sicherheitslücke erreicht mit einem CVSS-Wert von 10 den höchstmöglichen Schweregrad. Das Team von Next.js hat mit CVE-2025-66478 eine eigene CVE-Kennung vergeben. Dabei handelt es sich jedoch um dasselbe Problem.

Welche Gefahr besteht?

Die Schwachstelle ermöglicht es Angreifern, durch das Einschleusen von Schadcode eine Remote Code Execution (RCE) durchzuführen. Betroffen sind unter anderem:

  • React Router
  • RedwoodSDK
  • Waku
  • @parcel/rsc
  • @vitejs/plugin-rsc

Laut den Sicherheitsforschern von Wiz und Aikido basiert die Lücke auf einer „unsicheren Deserialisierung” im Flight-Protokoll des React-Frameworks. Sie lässt sich durch einen speziell gestalteten HTTP-Request ausnutzen, der in einer Codeausführung auf dem Server mündet. Die Forscher konnten den Angriff bei eigenen Tests mit einer Trefferquote von nahezu 100 Prozent reproduzieren.

Wie können Sie sich schützen?

Um die Risiken der aktuellen Sicherheitslücke in React und Next.js zu minimieren, ist es entscheidend, alle betroffenen Frameworks und Bibliotheken auf die neuesten Versionen zu aktualisieren, um bekannte Schwachstellen zu schließen. Darüber hinaus empfiehlt es sich, die offiziellen Hinweise der React-Entwickler sowie die Empfehlungen von Sicherheitsanbietern wie Wiz und Aikido sorgfältig zu prüfen und umzusetzen. Ergänzend dazu sollte das Monitoring der Systeme verstärkt werden, um verdächtige Aktivitäten frühzeitig zu erkennen und potenzielle Angriffe abzuwehren. Wer diese Schritte zeitnah umsetzt, reduziert das Risiko erheblich und sorgt für eine sichere Anwendungsumgebung.

Keine Gefahr für Kunden von NoSpamProxy

Da bei der Entwicklung von NoSpamProxy nicht das Javascript-Framework React, sondern Aurelia zum Einsatz kommt, besteht keine Gefahr für NoSpamProxy-Kunden.

Informationen zu den in NoSpamProxy verwendeten Komponenten finden Sie in der jeweiligen SBOM (Software Bill of Materials), die seit Version 15.2 mit NoSpamProxy ausgeliefert wird. Damit erfüllt NoSpamProxy unter anderem ein wichtiges Kriterium des von der Europäischen Kommission vorbereiteten Cyber Resiliance Act (CRA). Dieser verpflichtet Hersteller, SBOMs bereitzustellen, sofern ihre Produkte digitale Elemente enthalten und in der EU vertrieben werden.

    Sie haben NoSpamProxy noch nicht im Einsatz?

    Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen E-Mails und profitieren von vielen weiteren Sicherheitsfunktionen. Fordern Sie jetzt Ihre kostenlose Testversion an!

    NoSpamProxy kostenfrei testen
    AS4: Aktualisieren der Root- und Intermediate-Zertifikate der SmartMetering...Info IconLink Wrapping als Angriffsvektor 800x800Link Wrapping als Angriffsvektor