React2Shell: Die Zero-Day-Welle, die gerade durchs Web rollt

Seit Anfang Dezember rauscht eine Sicherheitslücke durchs Internet, die uns sofort an Log4j-Flashbacks denken lässt: React2Shell. Die Schwachstelle wurde mit einem CVSS-Score von 10.0 bewertet – kritischer geht’s nicht.

Und ja: Das hier ist ein Notfall.

Was passiert hier gerade?

Am 3. Dezember 2025 wurde eine Remote-Code-Execution-Schwachstelle im React-Ökosystem öffentlich – CVE-2025-55182.

Das Besondere daran:

• Keine Authentifizierung nötig
• Einfach per manipulierten Webrequests ausnutzbar
• Angriff auf Server-Side React (Flight-Protokoll)
• Und das Ganze breitet sich direkt weiter aus – auf Next.js, Vite und weitere Tools im React-Universum.

Kurz: Es betrifft nicht irgendeinen Randbereich. Es betrifft das Web.

Ein funktionaler Proof-of-Concept ist bereits öffentlich – und wie erwartet haben RaaS-Gruppen und Initial Access Broker keine Sekunde verschwendet. Die ersten automatisierten Angriffswellen laufen bereits.

Warum das so gefährlich ist

Wir ordnen React2Shell auf dem gleichen Level ein wie Log4j. Und das hat Gründe: Die Angriffssequenz läuft aktuell in zwei Phasen – und Sie haben nur ein winziges Zeitfenster, um einzugreifen:

1. Automatisierte Shell-Dropping-Phase (läuft bereits)
2. Manueller Breakout ins interne Netzwerk (kommt danach – und ist dann kaum noch aufzuhalten)

Was Unternehmen JETZT tun müssen

Dies ist keine Situation für „Wir prüfen das im Laufe des Tages“. Es ist eine Situation für Sofortmaßnahmen.

1. Beheben (Mitigate)

• Patchen Sie betroffene Systeme sofort.
• Wenn kein Patch möglich: bösartigen Traffic blockieren.

2. Überwachen (Monitor)

• Ganz besonders: Lateral Movement aus der DMZ.

3. Verfolgen (Track)

• Beobachten Sie veröffentlichte IOCs.
• Prüfen Sie die eigene Umgebung auf jede Unregelmäßigkeit.

Wir haben für unsere Kunden und Partner eine vollständige Liste an Empfehlungen zusammengestellt sowie einen ausführlichen Security Advisory veröffentlicht.

So bleiben Sie auf dem Laufenden

• Lesen Sie unseren vollständigen Security Advisory.
• Sehen Sie die Aufzeichnung unserer Live-Diskussion auf LinkedIn.
• Abonnieren Sie unseren Newsletter „Control-Alt-Decode“, um in Echtzeit über neue Sicherheitsmeldungen informiert zu werden.

Wie Sie React2Shell in Ihrer Umgebung erkennen

Einige Tools, die jetzt besonders wertvoll sind:

• EDR/XDR-Sensoren zur Erkennung von Lateral Movement
• External Attack Surface Management, um verwundbare Komponenten früh zu erkennen
• Bitdefender MDR überwacht bereits die Kundenbasis auf Indicators of Compromise

Update – 5. Dezember 2025

Ein funktionaler PoC wurde auf GitHub veröffentlicht. Amazon meldet erste Ausnutzungsversuche in freier Wildbahn.

Die Lage ist also nicht theoretisch – sie ist real.

Melden Sie sich gerne über das Kontaktformular oder direkt über die hallo@enthus.de.