React schwerwiegende Sicherheitslücke wird massiv ausgenutzt, Krypto-Plattformen sind dem Risiko des Token-Diebstahls ausgesetzt

In jüngster Zeit sorgt eine hochriskante Sicherheitslücke in den React-Serverkomponenten für große Besorgnis in der Branche. Diese Schwachstelle wurde unter der Nummer CVE-2025-55182 geführt und wird auch als React2Shell bezeichnet. Mehrere Bedrohungsorganisationen haben sie bereits aktiv ausgenutzt, was Tausende von Websites betrifft, darunter auch Kryptowährungsplattformen. Die Sicherheit der Nutzervermögen ist dadurch unmittelbar gefährdet.

Die Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung, Remote-Code auf betroffenen Servern auszuführen. Die React-Entwickler haben das Problem am 3. Dezember öffentlich gemacht und es als höchstkritisch eingestuft. Das Google Threat Intelligence Group (GTIG) bestätigte anschließend, dass die Schwachstelle in realen Umgebungen schnell ausgenutzt wurde, sowohl von profitgetriebenen Hackern als auch mutmaßlich von staatlich unterstützten Angriffen. Ziel sind vor allem Cloud-basierte Deployments sowie noch nicht gepatchte React- und Next.js-Anwendungen.

Technisch gesehen werden React-Serverkomponenten verwendet, um bestimmte Anwendungslogik direkt auf dem Server auszuführen. Die Schwachstelle liegt in der fehlerhaften Dekodierungsmechanik der Anfragen. Angreifer können spezielle Web-Anfragen konstruieren, die den Server dazu verleiten, beliebige Systembefehle auszuführen, was eine vollständige Kontrolle über die Serverumgebung ermöglicht. Betroffen sind Versionen von React 19.0 bis 19.2.0. Auch die für React und Next.js verwendeten Pakete sind betroffen, sodass allein die Installation der entsprechenden Komponenten eine Angriffsfläche bieten kann.

Das GTIG hat mehrere Angriffsversuche beobachtet, bei denen Hacker die Schwachstelle ausnutzen, um Hintertüren, schädliche Skripte und Kryptowährungs-Mining-Software, insbesondere Monero-Mining-Programme, zu installieren. Diese Angriffe laufen meist im Verborgenen ab, verbrauchen kontinuierlich Server-Rechenleistung und Strom, was die Leistung beeinträchtigt und den Angreifern langfristige Gewinne sichert.

Für die Krypto-Branche ist das Risiko besonders hoch. Viele Krypto-Börsen und Web3-Anwendungen sind auf React und Next.js angewiesen, um Frontend-Wallet-Interaktionen, Transaktionssignaturen und Autorisierungsprozesse zu steuern. Bei einer Kompromittierung des Frontends oder Servers könnten Angreifer schädlichen Code einschleusen, Nutzer-Signalanfragen abfangen oder Transaktionsadressen heimlich durch die Wallet-Adresse des Angreifers ersetzen. Selbst wenn die Blockchain-Protokolle an sich sicher sind, könnten Nutzer unbemerkt ihre gesamten Vermögenswerte verlieren.

Insgesamt zeigt die React-Schwachstelle erneut die zentrale Bedeutung der Sicherheit von Frontend und Servern im Krypto-Ökosystem. Für Betreiber ist es dringend notwendig, Patches schnell zu installieren, abhängige Komponenten zu prüfen und die Frontend-Sicherheit zu verstärken. Auch Nutzer sollten wachsam gegenüber ungewöhnlichen Transaktionsaktivitäten sein und bei Websites mit Sicherheitslücken vorsichtig sein, um Vermögensverluste zu vermeiden. (CoinDesk)