React-Sicherheitskrise spitzt sich zu

Die React-Entwicklergemeinde steht unter Alarmbereitschaft. Ein neu entdeckter Denial-of-Service-Angriff und frische Erkenntnisse über gezielte Attacken auf kritische Schwachstellen verschärfen die Sicherheitslage rund um die beliebte JavaScript-Bibliothek dramatisch.

Neue DoS-Lücke bedroht Server-Komponenten

Die jüngste Bedrohung trägt die Kennung CVE-2026-23864 und bewertet das CVSS-System mit einem hohen Wert von 7,5. Die Schwachstelle in React Server Components ermöglicht es Angreifern, durch einen manipulierten Request Server-Prozesse zum Absturz zu bringen oder massiv zu verlangsamen. Betroffen sind React-Versionen 19.0.0 bis 19.2.3 sowie darauf aufbauende Frameworks wie Next.js und React Router 7. Die React-Entwickler haben bereits Patches in den Versionen 19.0.4, 19.1.5 und 19.2.4 bereitgestellt. Ein sofortiges Update ist dringend empfohlen.

„React2Shell“: Die alte Gefahr bleibt akut

Während die neue Lücke für Aufregung sorgt, bleibt die kritischste Schwachstelle aus Dezember 2025 die größte Gefahr. „React2Shell“ (CVE-2025-55182) erlaubt mit der Maximalbewertung 10.0 die Ausführung von beliebigem Code auf Servern – ein Albtraum für jede IT-Sicherheit. Die Bedrohung ist keineswegs vorbei: Sicherheitsforscher von GreyNoise meldeten für Ende Januar und Anfang Februar 2026, dass sage und schreibe 56 Prozent aller Angriffsversuche von nur zwei IP-Adressen ausgingen. Die Angreifer setzen dabei auf Krypto-Miner wie XMRig und bauen sich Hintertüren für dauerhaften Zugriff. Das spricht für systematische Attacken durch gut organisierte Akteure.

Auch Mobile-Entwicklung im Visier

Das Problem beschränkt sich nicht auf Web-Anwendungen. Die als „Metro4Shell“ (CVE-2025-11953) bekannte Lücke im Metro-Entwicklungsserver für React Native bewertet das CVSS-System mit kritischen 9,8 Punkten. Sie ermöglicht Code-Ausführung auf Entwickler-Rechnern und in CI/CD-Umgebungen, wenn der Server unsicher dem Netzwerk ausgesetzt ist. Obwohl Produktions-Apps nicht direkt betroffen sind, stellt dies ein massives Supply-Chain-Risiko dar, da die gesamte Entwicklungsumgebung kompromittiert werden kann. Bereits im Dezember und Januar gab es aktive Ausnutzungen dieser Schwachstelle.

Warum die Lage so ernst ist

Die Häufung kritischer Lücken in React und seinem Ökosystem erinnert Sicherheitsexperten an vergangene Großereignisse wie Log4Shell. Die Einfachheit der Angriffe – oft reicht ein einziger manipulierter HTTP-Request – senkt die Einstiegshürde für Kriminelle enorm. Schätzungen gehen von Hunderttausenden potenziell betroffenen Domains und IP-Adressen aus. Besonders brisant: Geheimdienste und staatliche Akteure sollen die Schwachstellen bereits für Angriffe auf kritische Infrastrukturen nutzen.

Was Entwickler jetzt tun müssen

Die oberste Priorität lautet: Audit und Patch. Betroffene Teams müssen umgehend ihre Abhängigkeiten prüfen und sämtliche Sicherheitsupdates einspielen. Für die kritischen Lücken sind Updates der Pakete react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack essenziell. Vorsicht ist geboten: Einige frühere Patches waren unvollständig, sodass teilweise ein zweites Update nötig ist.

Wenn Sie Ihre Infrastruktur jetzt schnell und pragmatisch härten möchten: Ein kostenloses E-Book erklärt aktuelle Cyber-Security-Trends, konkrete Schutzmaßnahmen für Web- und Entwicklungsumgebungen (WAF, Netzwerksegmentierung, Rate-Limiting) und wie kleine IT-Teams Risiken ohne großes Budget minimieren können. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Langfristig müssen Unternehmen ihre Sicherheitsstrategie überdenken. Dazu gehören Web Application Firewalls (WAF) zur Erkennung bekannter Angriffsmuster, strikte Netzwerksegmentierung und Rate-Limiting gegen automatisierte Attacken. In Entwicklungsumgebungen gilt die Grundregel: Tools wie der Metro-Server dürfen niemals ungeschützt im öffentlichen Internet erreichbar sein. Die intensive Prüfung der React Server Components wird wohl weitere Schwachstellen ans Licht bringen – Entwickler sollten sich auf eine anhaltende Phase von Sicherheitswarnungen und Updates einstellen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.