Chinesische Hacker attackieren React2Shell-Lücke (CVE-2025-55182) nur Stunden nach Disclosure

Nur wenige Stunden nach der Veröffentlichung der kritischen React-Schwachstelle CVE-2025-55182 („React2Shell“) am 3. Dezember 2025 registrierten Amazons Threat-Intelligence-Teams bereits gezielte Ausnutzungsversuche durch China-stämmige Cybergruppen, darunter Earth Lamia und Jackpot Panda. Die RCE-Lücke (CVSS 10.0) betrifft React-19-Installationen sowie Next.js-15/16-Deployments, die den App Router und React Server Components nutzen.

AWS betont, dass keine eigenen Services betroffen sind. Allerdings zeigt Telemetrie aus der globalen MadPot-Honeypot-Infrastruktur, dass sowohl bekannte APT-Akteure als auch neue, bislang unbenannte Cluster die Schwachstelle aktiv testen und angreifen. Die Angreifer setzen dafür schnelle, oft unpräzise PoCs, automatisierte Scanner mit Tarnmechanismen sowie parallele Ausnutzung weiterer N-Day-Lücken ein – ein etabliertes Muster chinesischer staatlich gelenkter Cyberoperationen.

In mehreren Fällen versuchten Angreifer systematisch über längere Zeiträume verschiedene Payloads, Linux-Kommandos und Dateizugriffe, was auf manuelle Feintuning-Versuche gegen Live-Ziele hindeutet. Teilweise werden fehlerhafte oder unvollständige PoCs genutzt – Hauptsache schnell operationalisierbar und massentauglich.

Admins, die React oder Next.js in eigenen Umgebungen (EC2, Container u. a.) betreiben, sollen umgehend auf die gepatchten Versionen aktualisieren – React 19.0.1/19.1.2/19.2.1 bzw. die jeweils abgesicherten Next.js-Releases.

Related Posts

Kritische ASN.1-Validierungslücke in node-forge ermöglicht Signatur-Bypass

In der beliebten Kryptobibliothek node-forge wurde eine schwerwiegende Schwachstelle (CVE-2025-12816) entdeckt, die alle Versionen vor 1.3.2 betrifft. Die Lücke – ein Interpretation Conflict im ASN.1-Validator – erlaubt es entfernten, nicht authentifizierten Angreifern, speziell manipulierte ASN.1-Strukturen einzuschleusen und die interne Schema-Validierung zu „desynchronisieren“. Dadurch können sicherheitskritische Felder wie digitale Signaturen, MACs oder Integritätsprüfungen fehlerhaft interpretiert oder komplett übergangen werden.

Read More

Let’s Encrypt kürzt Zertifikatslaufzeit auf 45 Tage

Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.

Read More

Kritische XXE-Schwachstelle in GeoServer entdeckt

In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.

Read More