Eine kritische Sicherheitsanf\u00e4lligkeit<\/strong> (RCE-Bug) in React Server Components<\/em> wird derzeit ausgenutzt, um Server zu \u00fcbernehmen, Krypto-Wallets zu leeren, Monero-Miner zu installieren und eine Diebstahlwelle von bis zu 3 Milliarden Dollar bis 2025<\/strong> zu verst\u00e4rken, trotz dringender Appelle zur Behebung der Schwachstelle.<\/p>\n Die Security Alliance<\/strong> hat alarmierende Warnungen in der Kryptow\u00e4hrungsbranche ver\u00f6ffentlicht, da Bedrohungsakteure die Schwachstelle ausnutzen, um Wallets zu leeren und Malware zu verbreiten. Laut der Security Alliance nutzen Krypto-Drainer aktiv die Schwachstelle CVE-2025-55182<\/strong> aus und fordern alle Websites auf, ihren Frontend-Code umgehend auf verd\u00e4chtige Elemente zu \u00fcberpr\u00fcfen.<\/p>\n Diese Sicherheitsanf\u00e4lligkeit betrifft nicht nur Web3-Protokolle<\/em>, sondern alle Websites, die React verwenden, wobei Angreifer Genehmigungssignaturen \u00fcber verschiedene Plattformen hinweg ins Visier nehmen. Benutzer sind gef\u00e4hrdet, wenn sie Transaktionen signieren, da b\u00f6sartiger Code Wallet-Kommunikationen abf\u00e4ngt und Gelder an von Angreifern kontrollierte Adressen umleitet, so Sicherheitsforscher.<\/p>\n Das offizielle React-Team gab die Schwachstelle CVE-2025-55182<\/strong> am 3. Dezember bekannt und bewertete sie mit einem CVSS-Wert von 10.0<\/strong>, basierend auf einem Bericht von Lachlan Davidson vom 29. November \u00fcber das Meta Bug Bounty.<\/p>\n Die nicht authentifizierte Remote-Code-Ausf\u00fchrungsanf\u00e4lligkeit nutzt aus, wie React Payloads decodiert, die an Server-Funktionsendpunkte gesendet werden, was es Angreifern erm\u00f6glicht, b\u00f6sartige HTTP-Anfragen zu erstellen, die beliebigen Code auf Servern ausf\u00fchren. Der Fehler betrifft die React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0<\/strong> in den Paketen react-server-dom-webpack<\/em>, react-server-dom-parcel<\/em> und react-server-dom-turbopack<\/em>.<\/p>\n Wichtige Frameworks wie Next.js<\/em>, React Router<\/em>, Waku<\/em> und Expo<\/em> ben\u00f6tigen sofortige Updates. Patches wurden in den Versionen 19.0.1, 19.1.2 und 19.2.1<\/strong> bereitgestellt, wobei Next.js-Benutzer Updates \u00fcber mehrere Release-Linien von 14.2.35 bis 16.0.10<\/strong> ben\u00f6tigen.<\/p>\n Forscher haben w\u00e4hrend ihrer Untersuchungen zwei neue Schwachstellen in React Server Components entdeckt, die unabh\u00e4ngig von der kritischen CVE sind. Der Patch f\u00fcr React2Shell<\/em> bleibt wirksam gegen die Remote-Code-Ausf\u00fchrungsanf\u00e4lligkeit. Vercel<\/strong> hat Regeln f\u00fcr Web Application Firewalls implementiert, um Projekte auf seiner Plattform automatisch zu sch\u00fctzen, betont jedoch, dass der WAF-Schutz allein nicht ausreicht.<\/p>\n Sofortige Upgrades auf eine gepatchte Version sind erforderlich, erkl\u00e4rte Vercel in seinem Sicherheitsbulletin vom 3. Dezember und f\u00fcgte hinzu, dass die Schwachstelle Anwendungen betrifft, die nicht vertrauensw\u00fcrdige Eingaben auf eine Weise verarbeiten, die Remote-Code-Ausf\u00fchrung erm\u00f6glicht.<\/p>\n<\/blockquote>\n Die Google Threat Intelligence Group<\/strong> dokumentierte weit verbreitete Angriffe, die am 3. Dezember begannen, und verfolgte kriminelle Gruppen, die von opportunistischen Hackern bis hin zu staatlich unterst\u00fctzten Operationen reichen. Chinesische Hackergruppen installierten verschiedene Malware-Typen auf kompromittierten Systemen, wobei sie haupts\u00e4chlich Cloud-Server bei Amazon Web Services<\/em> und Alibaba Cloud<\/em> ins Visier nahmen.<\/p>\n Diese Angreifer verwendeten Techniken, um langfristigen Zugriff auf die Systeme der Opfer zu erhalten. Einige Gruppen installierten Software, die Remote-Zugriffstunnel erstellt, w\u00e4hrend andere Programme einsetzten, die kontinuierlich zus\u00e4tzliche b\u00f6sartige Werkzeuge herunterladen, die als legitime Dateien getarnt sind. Die Malware versteckt sich in Systemordnern und startet automatisch neu, um eine Entdeckung zu vermeiden.<\/p>\n Finanzmotivierte Kriminelle schlossen sich der Angriffswelle ab dem 5. Dezember an und installierten Krypto-Mining-Software, die die Rechenleistung der Opfer nutzt, um Monero zu generieren. Diese Miner laufen st\u00e4ndig im Hintergrund, treiben die Stromkosten in die H\u00f6he und generieren Gewinne f\u00fcr die Angreifer.<\/p>\n Untergrund-Hacking-Foren f\u00fcllten sich schnell mit Diskussionen \u00fcber Angriffswerkzeuge und Ausbeutungserfahrungen. Die React-Schwachstelle folgt einem Angriff vom 8. September, bei dem Hacker Josh Goldbergs npm-Konto kompromittierten und b\u00f6sartige Updates f\u00fcr 18 weit verbreitete Pakete ver\u00f6ffentlichten.<\/p>\n Organisationen, die React oder Next.js verwenden, wird geraten, sofort auf die Versionen 19.0.1, 19.1.2 oder 19.2.1<\/strong> zu patchen, WAF-Regeln zu implementieren, alle Abh\u00e4ngigkeiten zu \u00fcberpr\u00fcfen, den Netzwerkverkehr auf wget- oder cURL-Befehle zu \u00fcberwachen, die von Webserver-Prozessen initiiert werden, und nach unbefugten versteckten Verzeichnissen oder b\u00f6sartigen Shell-Konfigurationsinjektionen zu suchen.<\/p>\n","protected":false},"excerpt":{"rendered":" Kritische Sicherheitsanf\u00e4lligkeit in React Server Components Eine kritische Sicherheitsanf\u00e4lligkeit (RCE-Bug) in React Server Components wird derzeit ausgenutzt, um Server zu \u00fcbernehmen, Krypto-Wallets zu leeren, Monero-Miner zu installieren und eine Diebstahlwelle von bis zu 3 Milliarden Dollar bis 2025 zu verst\u00e4rken, trotz dringender Appelle zur Behebung der Schwachstelle. Alarmierende Warnungen der Security Alliance Die Security Alliance hat alarmierende Warnungen in der Kryptow\u00e4hrungsbranche ver\u00f6ffentlicht, da Bedrohungsakteure die Schwachstelle ausnutzen, um Wallets zu leeren und Malware zu verbreiten. Laut der Security Alliance nutzen Krypto-Drainer aktiv die Schwachstelle CVE-2025-55182 aus und fordern alle Websites auf, ihren Frontend-Code umgehend auf verd\u00e4chtige Elemente zu \u00fcberpr\u00fcfen. Betroffene<\/p>\n","protected":false},"author":3,"featured_media":12044,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[759,65,3373,9416,9418],"class_list":["post-12045","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-amazon-web-services","tag-hack","tag-monero","tag-security-alliance","tag-vercel"],"yoast_description":"Eine kritische Sicherheitsanf\u00e4lligkeit in React Server Components wird ausgenutzt, um Wallets zu leeren und Krypto-Websites sowie Benutzerfonds zu bedrohen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/12045","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=12045"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/12045\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/12044"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=12045"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=12045"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=12045"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Alarmierende Warnungen der Security Alliance<\/h2>\n
Betroffene Systeme und Sicherheitsbewertung<\/h2>\n
Technische Details der Schwachstelle<\/h2>\n
Zus\u00e4tzliche Schwachstellen und Schutzma\u00dfnahmen<\/h2>\n
\n
Dokumentierte Angriffe und Malware-Installation<\/h2>\n
Finanzmotivierte Angriffe und Krypto-Mining<\/h2>\n
Empfehlungen f\u00fcr betroffene Organisationen<\/h2>\n