Zurück zum Blog

Folgen und abonnieren

Proaktiver Schutz von Fastly für React2Shell, kritische React RCE CVE-2025-55182 und CVE-2025-66478

Kelly Shortridge

Chief Product Officer, Fastly

Security

Update vom 9. Dezember: 

React2Shell betrifft weiterhin Unternehmen weltweit, und wir haben neue Erkenntnisse über die am stärksten betroffenen Branchen und Regionen gewonnen. Informieren Sie sich hier über den aktuellen Stand.

Update vom 5. Dezember: 

Fastly sieht Hinweise aus der Praxis, dass Angreifer unerbittlich nach anfälligen Apps suchen, um React2Shell zu instrumentalisieren (CVEs 2025-55182 & 2025-66478). Nachdem der POC gestern (4. Dezember) um 21:04 Uhr UTC öffentlich bekannt gegeben wurde, stellte Fastly fest, dass die Angriffsaktivitäten zu diesem Zeitpunkt stark zugenommen zu haben schienen.

In den 24 Stunden seither ist die Anzahl der Anfragen, die unsere NGWAF-Signale für React2Shell auslösen, um 2.775 % explodiert.

Flächendiagramm vom 4. Dezember 20:00 Uhr bis 5. Dezember 20:00 Uhr. Eine aktualisierte Ansicht seit der letzten Grafik, die einen dramatischen Anstieg des Volumens der React2Shell-Versuche um 2.775 % mit Höhepunkt am 5. Dezember um 19:00 Uhr zeigt.

Das Security Research Team von Fastly hat bestätigt, dass ausgewählte öffentliche PoCs Angreifern die Möglichkeit geben, in einem Schritt Befehle auszuführen, Daten zu exfiltrieren und Schreibzugriff auf verwundbare Server zu erlangen. Es ist dringend erforderlich, dass sofortige Maßnahmen zur Behebung ergriffen werden.

Für Fastly-Kunden

Unser Ziel ist es, Ihnen Freiraum zum Patchen zu geben: 

  1. Erstens haben wir unseren virtuellen Patch für Common Vulnerability and Exposure-2025-55182 erweitert, um Scan-/Sondierungsaktivitäten und alle Versuche zu erkennen, unsere NGWAF-Schutzmaßnahmen zu umgehen.

  2. Zweitens erkennt das integrierte Angriffstools-Signal der Next-Gen WAF Scanner, die in den letzten 24 Stunden aufgetaucht sind, um nach verwundbaren Anwendungen zu suchen. Wir empfehlen, alle Anfragen zu untersuchen, die dieses Signal ausgelöst haben, da dies auf eine React2Shell-Aktivität hindeuten könnte.

  3. Schließlich kennzeichnete Fastly Bot Management React2Shell-Angriffs-Tools als „verdächtigen Bot“ und bot Unternehmen damit einen weiteren Verteidigungs-Layer. Wir empfehlen Ihnen, dieses Signal in Ihre Regeln aufzunehmen, falls Sie dies noch nicht getan haben. 

Die beste derzeit verfügbare Lösung besteht darin, Ihre Apps auf die entsprechenden gepatchten Versionen zu aktualisieren. Wir sind an einem Punkt angelangt, an dem es nicht mehr um das „Ob“ oder möglicherweise sogar das „Wann“ geht, sondern um das „Wie oft“? Wir werden die weltweiten Angriffsaktivitäten weiterhin überwachen, in zusätzliche Abwehrmaßnahmen für unsere Kunden investieren und die gewonnenen Erkenntnisse mit der Öffentlichkeit teilen.

Update vom 4. Dezember: 

Seit der Veröffentlichung dieses Blogs beobachten die Teams von Fastly aufmerksam die Versuche, React2Shell zu instrumentalisieren (CVEs 2025-55182 & 2025-66478). Am 4. Dezember gegen 21:04 Uhr GMT wurde ein anscheinend brauchbarer PoC öffentlich vorgestellt. Obwohl wir bis etwa 20:00 Uhr GMT wenige bis keine Anfragen sahen, die unsere NGWAF-Signale für diese Schwachstellen auslösten, stieg die Anzahl der ausgelösten Signale steil an, nachdem der PoC zu zirkulieren begann. Die untenstehende Grafik stellt Daten von etwa 11:00 Uhr GMT bis 23:00 Uhr GMT am 4. Dezember 2025 dar; wir werden Sie weiterhin über die Entwicklungen informieren.

Flächendiagramm mit Anfragen für React2Shell-Signale. Das Diagramm zeigt keine Signale vor 19 Uhr GMT, einen kleinen Anstieg auf 2.112 zwischen 19 und 21 Uhr GMT, gefolgt von einem Anstieg um 22 Uhr GMT und einem massiven Anstieg auf 36.792 um 23 Uhr GMT.

    

Was Sie tun sollten:

Fastly empfiehlt dringend, die Identifizierung und Aktualisierung Ihrer React- und Next.js-Anwendungen sofort zu priorisieren. Für aktuelle Next-Gen WAF-Kunden sollten Sie unbedingt den zugehörigen virtuellen Patch für die dualen CVEs aktivieren, um Schutz zu bieten, bis Ihre zugrundeliegenden Systeme vollständig aktualisiert sind. Wenn Sie weder Patches installiert noch proaktive Schutzmaßnahmen ergriffen haben, sollten Sie davon ausgehen, dass Ihre anfälligen Systeme möglicherweise kompromittiert sind. 

Wir werden unser globales Netzwerk weiterhin auf React2Shell-Aktivitäten überwachen und die Community über die Entwicklung der Situation auf dem Laufenden halten.

Während wir oft von ruchlosen Netzwerken von Cyberkriminellen hören, die das Internet missbrauchen, sollten wir das Netzwerk leidenschaftlicher Anbieter würdigen, die sich zusammenschließen, um das Internet in Krisenzeiten zu reparieren. Die heute angekündigte neue Sicherheitslücke in React Remote Code Execution (RCE) ist ein Beispiel für die Stärke dieser Partnerschaft.

Am Abend des 1. Dezember kontaktierte Vercel uns und informierte uns über die bevorstehende Offenlegung von CVE-2025-55182 und CVE-2025-66478*, Schwachstellen, die heute gemeinsam als React2Shell bezeichnet werden.

Nachdem Fastly von der Sicherheitslücke erfahren hatte, leitete das Unternehmen umgehend eine Untersuchung seiner internen Systeme ein und arbeitete an der Entwicklung von Erkennungsinhalten, um seinen Kunden schnellen und proaktiven Support bieten zu können. 

Wir haben außerdem dazu beigetragen, andere wichtige Technologiepartner direkt mit Vercel in Kontakt zu bringen, um eine maximale branchenübergreifende Vorbereitung im Vorfeld der Veröffentlichung zu gewährleisten. Wir wissen, dass es unseren Kunden nicht nur um die Antwort von Fastly geht. Es geht auch darum, ein guter Partner für andere Akteure in diesem Bereich zu sein und dazu beizutragen, die richtigen Informationen an die richtigen Stellen zu verbreiten.

Wir sind dankbar für die enge Zusammenarbeit mit Vercel sowie anderen Partnern des Software-Ökosystems, die zu diesen dringenden Bemühungen beigetragen haben, um möglichst viele Organisationen bestmöglich zu schützen. 

In diesem Post erfahren Sie mehr über die Sicherheitslücke, wie sich React2Shell auf Ihr Unternehmen auswirken könnte und wie Sie sich vor Angriffen schützen können.

Was Sie jetzt unbedingt wissen sollten

  • React CVE-2025-55182 und Next.js CVE-2025-66478 betreffen jede App, die React 19 mit React Server Components (RSC) verwendet – was zum Glück ein relativ kleiner Anteil von allen JavaScript-Apps ist.

  • Wir gehen jedoch davon aus, dass Angreifer diese Sicherheitslücke schnell als Waffe einsetzen werden. Wenn Sie anfällig sind, müssen Sie davon ausgehen, dass Sie bald eine Flut von Angriffsversuchen erleben werden.

  • Die Kernplattforminfrastruktur von Fastly ist unserer aktuellen Untersuchung zufolge nicht anfällig für React2Shell. Wir werden diese Arbeit fortsetzen, sobald wir mehr erfahren.

Wir haben einen virtuellen Patch für React2Shell in unserer NGWAF veröffentlicht, um unseren Kunden zu helfen, Exploit-Versuche zu minimieren. Mehr dazu erfahren Sie auf unserer Statusseite und FSA in unserem Kundenportal.

Wie Sie jetzt aktiven Schutz erhalten

Um das Risiko für Ihre durch NGWAF geschützten Anwendungen zu mindern, empfehlen wir, den virtuellen Patch für CVE-2025-55182 und CVE-2025-66478** unverzüglich auf alle möglicherweise verwundbaren Edge-Services und Services auf den eigenen Servern anzuwenden. Der Erkennungsinhalt dieser CVE-spezifischen Vorlagenregel sucht nach spezifischen Mustern in Anfrageheadern und POST-Bodies, die auf potenzielle Ausnutzungsversuche von React2Shell-CVEs hinweisen könnten.

Das Team für Sicherheitsuntersuchungen von Fastly hat diesen Inhalt in enger Zusammenarbeit mit Vercel entwickelt und getestet; wir sind dankbar für diese Partnerschaft, um sicherzustellen, dass unsere gemeinsamen Kunden nach der Offenlegung Zugang zu Schutzmaßnahmen haben. Unser Sicherheitsforschungsteam wird den virtuellen Patch bei Bedarf kontinuierlich aktualisieren; alle, die sich angemeldet haben, erhalten nachfolgende Updates automatisch. 

Fastly wird weiterhin zusätzliche Verteidigungsebenen untersuchen, die wir unseren Kunden anbieten können, um Angriffs-Traffic im Zusammenhang mit diesem React2Shell zu erkennen und zu blockieren. Wir werden weiterhin relevante NGWAF-Inhalte weiterentwickeln und verfeinern, während wir Ausnutzungsversuche beobachten.

Mehr zum Thema React2Shell

React CVE-2025-55182 und Next.js CVE-2025-66478 spiegeln einen Prototype Pollution-Bug wider – jedoch keinen traditionellen. Die meisten Prototype-Pollution-Bugs erfordern einen zusätzlichen Bug, um für den Angreifer nützlich zu sein, wie z. B. das Ausführen von beliebigem Code oder den Zugriff auf vertrauliche Daten.

Diese React RCE-Schwachstelle ist untypisch für einen Prototype-Pollution-Bug, da der Angreifer in nur einem Schritt erreichen kann, was er will – und dieser Schritt funktioniert, soweit wir wissen, bei allem, was React 19 mit RSC verwendet.

Angreifer können mit einer einzigen Anforderung Ihren React-Server dazu zwingen, JavaScript-Code ihrer Wahl auszuführen. Dieser Fehler bedeutet, dass Angreifer Ihre App nicht analysieren und sich auch nicht erfolgreich authentifizieren müssen. Sie müssen lediglich wissen, dass Ihre App RSC verwendet und eine HTTP-Anforderung mit der genauen Abfolge serialisierter Flight-Anweisungen senden, um den Fehler auszulösen.

Da React2Shell keine weitere Schwachstelle benötigt, damit Angreifer ferngesteuerten Code ausführen können, glauben wir, dass Angreifer es bequem als Waffe einsetzen werden. Einfach gesagt ermöglicht der Fehler es Angreifern, einfach beliebiges JavaScript auf einem verwundbaren Server hinzuzufügen und auszuführen. Technisch betrachtet instrumentalisiert dieser Fehler die Flight-Bibliothek – und insbesondere deren Deserialisierungscode –, um den JavaScript-Funktionskonstruktor aufzurufen, während der Server den eingehenden React Server-Funktionsaufruf des Angreifers entschlüsselt.

Wenn Sie React 19 verwenden, raten wir Ihnen dringend, sofort einen Patch einzuspielen und die unten beschriebenen aktiven Schutzmaßnahmen anzuwenden.

Anleitung von Fastly für React2Shell – CVE-2025-55182 & CVE-2025-66478

Nach Bekanntwerden dieser Sicherheitslücke haben wir unsere zentrale Plattform-Infrastruktur rasch untersucht und keine Hinweise darauf gefunden, dass wir direkt durch React CVE-2025-55182 und Next.js CVE-2025-66478 verwundbar sind. Wir werden unsere Untersuchungen fortsetzen, sobald wir mehr erfahren. 

Wir haben jedoch viele Kunden, die JavaScript-Anwendungen auf unserer Plattform ausführen. So können Sie feststellen, ob Sie React 19 verwenden und möglicherweise anfällig für React2Shell sind:

  • Erstellen Sie ein Verzeichnis aller Apps, die beispielsweise React Server Functions oder Next.js verwenden, indem Sie die GitHub-Suche nutzen. Eine direkte und zuverlässige Methode ist die gezielte Suche nach den relevanten Packages in der package.json-Datei der jeweiligen Codebase.

  • Beachten Sie, dass selbst eine leere, standardmäßige Next.js-Anwendung verwundbar sein kann; alles, was der Angreifer benötigt, ist der Server, der für React Server Components benötigt wird – selbst wenn Sie keine React Server Functions verwenden.

In jeder mandantenfähigen Umgebung ist es normal, sich Sorgen zu machen, dass Ihr sprichwörtlicher „Nachbar“ verwundbar sein könnte, selbst wenn Sie es nicht sind, was zu Kaskadeneffekten führen könnte. Mit Fastly sind Sie jedoch vor direkten Ansteckungseffekten geschützt. Fastly hat seine Compute-Plattform von Anfang an mit dem Gedanken an nicht vertrauenswürdige Workloads entworfen; es spielt keine Rolle, ob Ihre Nachbarn böswillig oder kompromittiert sind, denn die Sandbox-Architektur von Fastly ist darauf ausgelegt, Sie zu schützen. 

Angesichts der Art der Schwachstelle ist es wahrscheinlich, dass Versuche, die Schwachstelle auszunutzen, eine Frage des „Wann“ und nicht des „Ob“ sind. Wenn Sie zusätzliche Zeit benötigen, um Ihre React- oder Next.js-Apps zu patchen, empfehlen wir Ihnen dringend, sofort aktive Schutzmaßnahmen zu ergreifen – auch über die NGWAF von Fastly, wie oben beschrieben –, um die geschäftlichen Auswirkungen von Angriffen zu minimieren (und den Return on Investment von Cyberangreifern zu vergiften, die diese Schwachstellen als Waffe einsetzen).

Nächste Schritte

Wir wissen, dass unsere Kunden uns die Netzwerkstabilität ihrer geschäftskritischen Services anvertrauen, und es ist ein Kernelement unserer Unternehmensmission, Ihnen den Rücken freizuhalten, wenn Überraschungen wie CVE-2025-55182 und CVE-2025-66478 auftreten. Unsere Teams stehen Ihnen bei der laufenden Abwehr von React2Shell zur Seite – egal, ob Sie ein langjähriger Kunde der Fastly-Plattform sind oder neu sind und sofortigen Schutz benötigen. Lassen Sie uns wissen, wie wir helfen können.

Wir sind dankbar, dass wir Teil dieses Netzwerks von Anbietern sind, die sich bemühen, die Auswirkungen von Cyberangriffen und Cybermissbrauch weltweit zu minimieren. Im Sinne der Aufrechterhaltung der Netzwerkstabilität und der Zusammenarbeit im Ökosystem wird Fastly unser globales Netzwerk proaktiv auf Ausnutzungsversuche der React2Shell-Schwachstelle überwachen und anschließend Updates zu den beobachteten Aktivitäten anbieten, ähnlich den Einblicken, die wir während des Log4Shell-Vorfalls veröffentlicht haben. Bleiben Sie dran.

* Ich persönlich bezeichne sie gemeinsam als „Spicy Unpickling“, um die Terminologie von Python zu übernehmen.

** Zum sofortigen Schutz haben wir den virtuellen Patch unter der uns vorliegenden CVE-Nummer veröffentlicht: CVE-2025-66478 von Next.js. Wir arbeiten daran, CVE-2025-66478 in CVE-2025-55182, dem CVE von React, zu konsolidieren.

© Fastly 2025