Titelbild des Blogartikels Kritische Sicherheitslücken in Next.js und React - Dezember 2025
Bild, das den Blogbeitrag Kritische Sicherheitslücken in Next.js und React - Dezember 2025 darstellt

Kritische Sicherheitslücken in Next.js und React - Dezember 2025

#Security#Vulnerability#NextJs#Cybersecurity#ReactJs
Nikola Filipovski
Bild des Autors Nikola Filipovski

Nikola Filipovski

Full-Stack-Webentwickler

Aufrufe: 82

Likes: 3

Kritische Sicherheitslücken in Next.js und React

Im Dezember 2025 wurden kritische Sicherheitslücken in Next.js und React Server Components veröffentlicht, die mehrere Versionen betrafen und sofortige Aufmerksamkeit von Entwicklern erforderten.

Next.js: CVE-2025-66478

Next.js meldete eine kritische Sicherheitslücke mit der Kennung CVE-2025-66478. Das Problem ermöglichte potenziell nicht authentifiziertes Remote-Code-Ausführen durch Ausnutzung von Schwachstellen in der Server-Verarbeitung von Next.js. Entwickler wurden dringend aufgefordert, auf die gepatchten Versionen zu aktualisieren, um ihre Anwendungen abzusichern. Betroffene Versionen umfassten mehrere Releases in Next.js 15 und den frühen Next.js 16 Versionen. Der Fix stellt eine ordnungsgemäße Validierung und Bereinigung von serverseitigen Anfragen sicher und schließt die Sicherheitslücke.

  • Dringende Maßnahme: Auf die neueste gepatchte Version innerhalb Ihrer aktuellen Release-Linie aktualisieren
  • Alle Nutzer von Next.js 14.3.0-canary oder später sollten auf stabile 14.x Versionen wechseln, bis ein Fix vorliegt
  • Die Schwachstelle betraf die serverseitige Verarbeitung, auch für Apps, die bestimmte Serverfunktionen nicht direkt nutzen

React: CVE-2025-55182

Auch React Server Components hatten eine kritische Sicherheitslücke (CVE-2025-55182), die nicht authentifiziertes Remote-Code-Ausführen erlaubte. Die Schwachstelle bestand darin, wie React Payloads an React Server Function Endpoints dekodierte. Selbst Anwendungen, die React Server Functions nicht explizit nutzen, konnten betroffen sein, wenn sie React Server Components unterstützten.

  • Betroffene Pakete: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack
  • Schweregrad: CVSS 10.0 kritisch - höchstes Niveau auf einer Skala von 0 bis 10
  • Sofortige Lösung: React, React DOM und zugehörige Serverpakete auf die gepatchten Versionen aktualisieren
  • Hosting-Anbieter haben Maßnahmen ergriffen, aber für vollständige Sicherheit ist ein Update erforderlich

Auswirkungen und Empfehlungen

Beide Schwachstellen unterstreichen die Bedeutung, Abhängigkeiten aktuell zu halten und serverseitige Frameworks auf Sicherheitsrisiken zu überwachen. Entwickler sollten:

  1. Sofort auf die neuesten gepatchten Versionen aktualisieren
  2. Server-Endpunkt-Nutzung überprüfen, um die Angriffsfläche zu begrenzen
  3. Standard-Sicherheitspraktiken anwenden, wie Eingabevalidierung, Zugriffskontrolle und Monitoring
  4. Deployments nach Updates testen, um die Wirksamkeit der Sicherheitsupdates zu prüfen

Wer diese Updates ignoriert, kann Angreifern ermöglichen, beliebigen Code auf Servern auszuführen und damit Benutzerdaten und Integrität der Anwendung zu gefährden. Sicherheitsorientiertes Vorgehen ist essenziell in moderner Webentwicklung, besonders bei servergetriebenen Frameworks.

Warnung: Sicherheitslücken in Next.js und React

React.js betroffene Versionen

  • 19.0
  • 19.1.0
  • 19.1.1
  • 19.2.0

Betroffene Pakete sind:

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Fixes wurden in Versionen 19.0.1, 19.1.2 und 19.2.1 eingeführt. Wenn Sie eine dieser Versionen oder Pakete verwenden, aktualisieren Sie sofort auf die gepatchten Versionen.

Next.js betroffene Versionen

  • Next.js 15.x
  • Next.js 16.x
  • Next.js 14.3.0-canary.77 und spätere Canary-Versionen
Next.js 13.x, stabile 14.x Versionen, Pages Router Apps und Edge Runtime sind nicht betroffen.

Die Sicherheitslücke ist vollständig in den folgenden gepatchten Next.js Versionen behoben:

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 15.6.0-canary.58
  • 16.0.7

Diese Versionen enthalten die gesicherte Implementierung der React Server Components.

Fazit

Die Sicherheitslücken im Dezember 2025 in Next.js und React erinnern deutlich an die sich entwickelnden Risiken in modernen Webframeworks. Entwickler müssen schnell handeln, um betroffene Versionen zu patchen und sicherzustellen, dass serverseitige Komponenten Anfragen sicher verarbeiten.

Durch die Verfolgung offizieller Sicherheitsmitteilungen und konsequente Updates sowie Testpraktiken lassen sich Anwendungen am besten gegen neue Bedrohungen schützen.

Quellen:
Next.js Security Advisory CVE-2025-66478 | React Server Components Vulnerability

Überprüfen Sie Ihre Projekte und aktualisieren Sie sofort, falls betroffen