Nur wenige Stunden nach der Veröffentlichung der kritischen React-Schwachstelle CVE-2025-55182 („React2Shell“) am 3. Dezember 2025 registrierten Amazons Threat-Intelligence-Teams bereits gezielte Ausnutzungsversuche durch China-stämmige Cybergruppen, darunter Earth Lamia und Jackpot Panda. Die RCE-Lücke (CVSS 10.0) betrifft React-19-Installationen sowie Next.js-15/16-Deployments, die den App Router und React Server Components nutzen.
AWS betont, dass keine eigenen Services betroffen sind. Allerdings zeigt Telemetrie aus der globalen MadPot-Honeypot-Infrastruktur, dass sowohl bekannte APT-Akteure als auch neue, bislang unbenannte Cluster die Schwachstelle aktiv testen und angreifen. Die Angreifer setzen dafür schnelle, oft unpräzise PoCs, automatisierte Scanner mit Tarnmechanismen sowie parallele Ausnutzung weiterer N-Day-Lücken ein – ein etabliertes Muster chinesischer staatlich gelenkter Cyberoperationen.
In mehreren Fällen versuchten Angreifer systematisch über längere Zeiträume verschiedene Payloads, Linux-Kommandos und Dateizugriffe, was auf manuelle Feintuning-Versuche gegen Live-Ziele hindeutet. Teilweise werden fehlerhafte oder unvollständige PoCs genutzt – Hauptsache schnell operationalisierbar und massentauglich.
Admins, die React oder Next.js in eigenen Umgebungen (EC2, Container u. a.) betreiben, sollen umgehend auf die gepatchten Versionen aktualisieren – React 19.0.1/19.1.2/19.2.1 bzw. die jeweils abgesicherten Next.js-Releases.
