Das Jahr 2025 hat sich als Albtraum für Next.js-Betreiber erwiesen. Innerhalb weniger Monate wurden mehrere kritische Sicherheitslücken entdeckt, die Millionen von Websites weltweit gefährden. Die jüngsten Schwachstellen vom Dezember 2025 werden bereits aktiv von Hackergruppen ausgenutzt und von der US-amerikanischen Cybersecurity-Behörde CISA als akute Bedrohung eingestuft.
Die kritische Lage auf einen Blick
- Über 2,15 Millionen Websites potenziell betroffen
- CVSS 10.0: Höchstmögliche Gefahrenstufe für React2Shell
- Aktive Ausnutzung durch staatlich gesponserte Hackergruppen
- CISA hat Frist bis 26. Dezember 2025 gesetzt
- 39% aller Cloud-Umgebungen betroffen
Wenn Sie eine Website mit Next.js 14, 15 oder 16 betreiben und den App Router nutzen, sollten Sie sofort handeln. In diesem Artikel erklären wir alle bekannten Schwachstellen, wie Sie prüfen ob Sie betroffen sind, und welche Massnahmen Sie ergreifen müssen.
Kernfakten: Next.js Sicherheitslücken 2025
Betroffene Systeme: Über 2,15 Millionen Next.js/React-Services weltweit sind potenziell von den kritischen Sicherheitslücken betroffen. 39% aller Cloud-Umgebungen enthalten verwundbare Versionen.
Maximale Gefahrenstufe: CVE-2025-55182 (React2Shell) hat CVSS-Score 10.0 – die höchstmögliche Einstufung. Angreifer können ohne Authentifizierung Server vollständig übernehmen.
Aktive Ausnutzung: CISA warnt vor staatlich gesponserten Hackergruppen, die diese Lücken aktiv ausnutzen. Frist zum Patchen: 26. Dezember 2025.
Einfacher Exploit: Middleware-Bypass (CVE-2025-29927) erfordert nur das Hinzufügen eines HTTP-Headers – kein tiefes technisches Wissen nötig.
Patches verfügbar: Next.js 15.3.0, 14.2.30, 13.5.9 und React 19.0.0 beheben die Schwachstellen. Update dringend empfohlen.
Das Ausmass der Bedrohung
Zahlen zur aktuellen Bedrohungslage
Millionen betroffene Services weltweit
aller Cloud-Umgebungen verwundbar
CVSS-Score (Maximum)
bestätigte kompromittierte Organisationen
Die Shadowserver Foundation hat am 7. Dezember 2025 fast 29.000 öffentlich erreichbare IP-Adressen identifiziert, die für die Schwachstellen anfällig sind. Zwei Tage zuvor waren es noch über 77.600. Die rapide Abnahme zeigt zwar, dass viele Betreiber reagieren, aber tausende Systeme bleiben ungeschützt.
Besonders alarmierend: Wiz Research berichtet, dass 39% aller Cloud-Umgebungen Instanzen von Next.js oder React in verwundbaren Versionen enthalten. Bei den Unternehmen, die Next.js einsetzen, liegt das Framework in ganzen 69% der Umgebungen vor.
Chronologie der Schwachstellen 2025
März 2025: Der Anfang - CVE-2025-29927
Die erste grosse Sicherheitslücke des Jahres wurde im März 2025 öffentlich. CVE-2025-29927 ermöglicht es Angreifern, die Middleware-Autorisierung in Next.js vollständig zu umgehen.
Schweregrad: CVSS 9.1 (Kritisch)
Das Problem: Next.js verwendet einen internen HTTP-Header namens x-middleware-subrequest, um rekursive Anfragen zu verhindern. Dieser Header kann jedoch von Angreifern missbraucht werden. Durch einfaches Hinzufügen dieses Headers zu einer Anfrage kann die gesamte Middleware-Logik übersprungen werden, einschliesslich Authentifizierungsprüfungen.
Erschreckend einfacher Exploit
Ein Angreifer muss lediglich einen speziellen Header zu einer HTTP-Anfrage hinzufügen. Keine speziellen Tools, kein tiefes technisches Wissen erforderlich. Der Exploit wurde innerhalb von Stunden nach der Veröffentlichung massenhaft ausgenutzt.
Betroffene Versionen:
- Next.js 11.1.4 bis 12.3.4
- Next.js 13.0.0 bis 13.5.8
- Next.js 14.0.1 bis 14.2.24
- Next.js 15.0.1 bis 15.2.2
Wichtig: Nur selbst-gehostete Installationen waren betroffen. Vercel, Netlify und Cloudflare Workers waren durch ihre Architektur nicht anfällig.
Dezember 2025: React2Shell erschüttert das Ökosystem
Am 3. Dezember 2025 wurde die bisher schwerste Sicherheitslücke in der Geschichte von React und Next.js öffentlich: CVE-2025-55182, auch bekannt als "React2Shell".
Schweregrad: CVSS 10.0 (Maximum)
Der Name "React2Shell" ist eine Anspielung auf die berüchtigte Log4Shell-Schwachstelle von 2021, die ebenfalls maximale Zerstörungskraft hatte.
React2Shell vs. Log4Shell
Log4Shell (2021)
- CVSS 10.0
- Betraf Java-Anwendungen weltweit
- Remote Code Execution
- Wochen der Chaos-Behebung
React2Shell (2025)
- CVSS 10.0
- Betrifft React 19 + Next.js
- Remote Code Execution
- Aktive Ausnutzung seit Tag 1
Die technische Ursache: Die Schwachstelle liegt im "Flight"-Protokoll der React Server Components. Bei der Deserialisierung von RSC-Payloads werden angreiferkontrollierte Daten nicht ausreichend validiert. Ein speziell präparierter Payload kann dazu führen, dass der Server beliebigen JavaScript-Code ausführt.
Der Exploit im Detail:
- Ein Angreifer sendet einen manipulierten Flight-Payload an den Server
- Der Payload enthält ein gefälschtes Objekt mit einer eigenen Methode
- Bei der Deserialisierung versucht React, das Objekt als Promise aufzulösen
- Dabei wird die vom Angreifer kontrollierte Methode aufgerufen
- Der Angreifer erhält Zugriff auf interne Parsing-Zustände
- Über Prototype Pollution wird beliebiger Code ausgeführt
Keine Authentifizierung erforderlich
Das Erschreckende an React2Shell: Der Angriff erfordert keine Authentifizierung und keine Nutzerinteraktion. Jede öffentlich erreichbare Next.js-Anwendung mit App Router kann angegriffen werden.
Betroffene Versionen:
- React 19.0.0, 19.1.0, 19.1.1, 19.2.0
- Next.js ab 14.3.0-canary.77
- Alle Next.js 15.x und 16.x mit App Router
Betroffene Frameworks und Bundler:
- Next.js
- React Router (RSC-Modus)
- Waku
- @parcel/rsc
- @vitejs/plugin-rsc
- rwsdk (RedwoodSDK)
5. Dezember 2025: CISA-Warnung und bestätigte Angriffe
Nur zwei Tage nach der Veröffentlichung wurde CVE-2025-55182 in die CISA KEV-Liste (Known Exploited Vulnerabilities) aufgenommen. Dies bestätigt offiziell: Die Schwachstelle wird aktiv ausgenutzt.
Die CISA setzte eine Frist für US-Bundesbehörden und kritische Infrastrukturen: 26. Dezember 2025 als spätester Termin für die Behebung.
Beobachtete Angreifergruppen:
Palo Alto Networks Unit 42 identifizierte Aktivitäten der Gruppe CL-STA-1015 (auch bekannt als UNC5174), einem Initial Access Broker mit mutmasslichen Verbindungen zum chinesischen Ministerium für Staatssicherheit. Die Angriffe umfassten:
- Ausführung von Shell-Skripten ohne Dateispeicherung via curl/wget
- Installation der Trojaner SNOWLIGHT und VShell
- Deployment von Cobalt Strike Beacon
- Installation von Cryptominern
- Kompromittierung von Kubernetes-Containern
Beobachtete Angriffsaktivitäten
bestätigte kompromittierte Organisationen
Uhr morgens UTC starteten Massenangriffe
Tage bis Metasploit-Modul verfügbar
Angriffsversuche pro Stunde (Honeypots)
11. Dezember 2025: Drei weitere CVEs an einem Tag
Als wäre React2Shell nicht genug, veröffentlichten React und Next.js am 11. Dezember 2025 drei weitere Sicherheitslücken:
CVE-2025-55183: Source Code Exposure
Schweregrad: CVSS 5.3 (Mittel)
Diese Schwachstelle ermöglicht es Angreifern, den Quellcode von Server Functions auszulesen. Durch speziell präparierte HTTP-Anfragen gibt der Server den Source Code zurück, anstatt die Funktion auszuführen.
Risiken:
- Offenlegung sensibler Geschäftslogik
- Enthüllung möglicherweise hartcodierter Secrets
- Informationen für weitere Angriffe
CVE-2025-55184: Denial of Service
Schweregrad: CVSS 7.5 (Hoch)
Ein Angreifer kann durch manipulierte HTTP-Anfragen eine Endlosschleife im Server auslösen. Der Server-Prozess hängt sich auf und kann keine weiteren Anfragen mehr verarbeiten.
Auswirkungen:
- Vollständiger Ausfall der Anwendung
- Ressourcenerschöpfung (CPU bei 100%)
- Blockierung legitimer Nutzer
CVE-2025-67779: Unvollständiger Fix für CVE-2025-55184
Schweregrad: CVSS 7.5 (Hoch)
Die erste Behebung von CVE-2025-55184 war unvollständig. Bestimmte Payload-Typen konnten weiterhin DoS-Angriffe auslösen. Ein zweites Patch wurde erforderlich.
Doppeltes Patchen erforderlich
Wenn Sie nach dem 3. Dezember auf eine der empfohlenen Versionen aktualisiert haben, müssen Sie erneut aktualisieren. Die Versionen 19.0.2, 19.1.3 und 19.2.2 von React sind weiterhin anfällig für DoS-Angriffe.
Sind Sie betroffen? So prüfen Sie es
Schnell-Check für Ihre Next.js-Anwendung
Schritt 1: Next.js-Version ermitteln
Fragen Sie Ihr Entwicklungsteam nach der aktuell eingesetzten Next.js-Version. Diese Information findet sich in der Projektkonfiguration und kann schnell ermittelt werden.
Schritt 2: Prüfen ob App Router verwendet wird
Fragen Sie Ihr Entwicklungsteam, ob der App Router verwendet wird. Projekte mit App Router nutzen eine andere Ordnerstruktur als ältere Next.js-Projekte.
Schritt 3: React-Version prüfen
Auch die React-Version kann Ihr Entwicklungsteam aus der Projektkonfiguration ablesen.
Betroffene Konfigurationen im Detail
| CVE | App Router | Pages Router | Selbst-gehostet | Vercel/Netlify |
|---|---|---|---|---|
| CVE-2025-29927 | Betroffen | Betroffen | Nur wenn standalone | Nicht betroffen |
| CVE-2025-55182 | Betroffen | Nicht betroffen | Betroffen | Betroffen |
| CVE-2025-55183 | Betroffen | Nicht betroffen | Betroffen | Betroffen |
| CVE-2025-55184 | Betroffen | Nicht betroffen | Betroffen | Betroffen |
Pages Router als sicherer Hafen
Wenn Ihre Anwendung ausschliesslich den älteren Pages Router verwendet, sind Sie von den Dezember-2025-Schwachstellen nicht betroffen. Die Middleware-Bypass-Lücke vom März betraf jedoch auch den Pages Router.
Externe Schwachstellen-Scanner
Mehrere Sicherheitsanbieter haben kostenlose Scanner veröffentlicht:
- Vercel bietet unter react2shell.com einen offiziellen Check
- Nuclei-Templates für CVE-2025-55182 sind auf GitHub verfügbar
- Censys und Shodan können öffentlich erreichbare verwundbare Server identifizieren
Sofortmassnahmen: So schützen Sie sich jetzt
Schritt 1: Sofort updaten
Für Next.js:
Aktualisieren Sie auf eine der folgenden gepatchten Versionen:
- Next.js 16.0.7
- Next.js 15.5.7
- Next.js 15.4.8
- Next.js 15.3.6
- Next.js 15.2.6
- Next.js 15.1.9
- Next.js 15.0.5
Ihr Entwicklungsteam kann das Update über den Paketmanager (npm, yarn oder pnpm) durchführen. Nach dem Update muss die Anwendung neu gebaut und deployed werden.
Für React:
Stellen Sie sicher, dass Sie mindestens Version 19.0.3, 19.1.4 oder 19.2.3 verwenden. Das React-Update erfolgt in der Regel gemeinsam mit dem Next.js-Update.
Schritt 2: Secrets rotieren
Nach dem Patchen sollten Sie alle Anwendungs-Secrets rotieren:
- API-Schlüssel
- Datenbank-Passwörter
- JWT-Secrets
- OAuth-Credentials
- Webhook-Secrets
Gehen Sie vom Schlimmsten aus
Wenn Ihre Anwendung vor dem Patch öffentlich erreichbar war, müssen Sie davon ausgehen, dass Angreifer möglicherweise Zugriff hatten. Die Rotation aller Secrets ist keine Überreaktion, sondern Best Practice nach einer solchen Schwachstelle.
Schritt 3: Logs auf Kompromittierung prüfen
Durchsuchen Sie Ihre Server-Logs nach verdächtigen Aktivitäten:
- Ungewöhnliche POST-Anfragen an API-Endpunkte
- Auffällige Payloads in Request Bodies
- Prozesse mit hoher CPU-Auslastung
- Neue oder unbekannte ausgehende Netzwerkverbindungen
- Verdächtige Dateien in temporären Verzeichnissen
Schritt 4: WAF-Regeln konfigurieren
Als zusätzliche Schutzschicht können Web Application Firewalls helfen:
Für CVE-2025-29927: Blockieren Sie eingehende Anfragen mit dem verdächtigen Middleware-Header.
Für React2Shell: Verschiedene WAF-Anbieter haben bereits Signaturen veröffentlicht. Prüfen Sie die Dokumentation Ihres Anbieters.
Langfristige Absicherung Ihrer Next.js-Anwendung
Regelmässige Updates etablieren
Die Häufung kritischer Schwachstellen zeigt: Next.js und React müssen wie jede andere Infrastruktur-Komponente regelmässig aktualisiert werden.
Empfohlener Update-Zyklus:
- Security-Patches: Sofort (innerhalb von 24-48 Stunden)
- Minor-Updates: Monatlich
- Major-Updates: Quartalsweise evaluieren
Monitoring und Alerting einrichten
Implementieren Sie Systeme, die Sie bei neuen Sicherheitslücken sofort informieren:
- GitHub Security Advisories für Next.js und React abonnieren
- CISA KEV-Feed überwachen
- Security-Newsletter wie Rapid7, Unit42 oder Wiz
Security Headers und CSP
Auch wenn sie diese spezifischen Schwachstellen nicht verhindert hätten, sind robuste Security Headers grundlegend wichtig:
- Content-Security-Policy
- X-Frame-Options
- X-Content-Type-Options
- Strict-Transport-Security
Principle of Least Privilege
Begrenzen Sie die Berechtigungen Ihrer Anwendung:
- Datenbank-Benutzer mit minimalen Rechten
- Container mit eingeschränkten Capabilities
- Netzwerk-Segmentierung
- Keine Root-Prozesse
Was diese Schwachstellen über das React-Ökosystem aussagen
Die Häufung kritischer Sicherheitslücken wirft Fragen auf. React Server Components sind eine relativ neue Technologie, die komplexe Server-Client-Kommunikation einführt. Mit dieser Komplexität kommen neue Angriffsvektoren.
Perspektive bewahren
Jedes verbreitete Framework hat Sicherheitslücken. WordPress, Laravel, Spring Boot - alle hatten kritische CVEs. Entscheidend ist die Reaktionsgeschwindigkeit der Maintainer. Das React- und Next.js-Team hat hier professionell reagiert und Patches innerhalb von Stunden bereitgestellt.
Lehren für die Zukunft:
-
Server Components sind keine Magie: Code, der auf dem Server läuft, muss denselben Sicherheitsstandards entsprechen wie traditionelle Backend-Anwendungen.
-
Deserialisierung ist gefährlich: Dies ist eine bekannte Schwachstellenklasse. Dass sie in einem so modernen Framework auftritt, zeigt, wie schwer sichere Software zu entwickeln ist.
-
Schnelle Updates sind essentiell: Unternehmen, die nicht innerhalb von Tagen patchen können, haben ein strukturelles Problem.
Handlungsoptionen für Unternehmen
Option 1: Sofort selbst patchen
Geeignet für: Unternehmen mit eigenem Entwicklungsteam und DevOps-Kapazitäten
Aufwand: 2-8 Stunden je nach Komplexität
Voraussetzungen:
- Zugriff auf den Quellcode
- Deployment-Pipeline vorhanden
- Testumgebung verfügbar
Option 2: Notfall-Unterstützung durch Experten
Geeignet für: Unternehmen ohne interne Kapazitäten oder bei komplexen Legacy-Systemen
Bei HEADON.pro bieten wir kurzfristige Notfall-Unterstützung für betroffene Unternehmen:
- Analyse Ihrer aktuellen Installation
- Prüfung auf bereits erfolgte Kompromittierung
- Durchführung des Updates
- Rotation aller relevanten Secrets
- Einrichtung von Monitoring
Option 3: Vollständiges Security Audit
Geeignet für: Unternehmen, die langfristig ihre Sicherheitslage verbessern wollen
Neben dem akuten Patching analysieren wir:
- Gesamte Anwendungsarchitektur
- Deployment-Prozesse
- Secret-Management
- Logging und Monitoring
- Incident-Response-Fähigkeiten
Checkliste: Haben Sie alles erledigt?
- Next.js-Version geprüft
- React-Version geprüft
- Auf gepatchte Version aktualisiert
- Deployment durchgeführt
- Alle Secrets rotiert
- Logs auf verdächtige Aktivitäten geprüft
- WAF-Regeln aktualisiert
- Team über Vorfall informiert
- Security-Advisories abonniert
- Update-Prozess für die Zukunft etabliert
Häufig gestellte Fragen (FAQ)
Ist meine Next.js Website von den Sicherheitslücken betroffen?
Wenn Sie Next.js 14.x bis 15.2.x mit dem App Router verwenden, sind Sie wahrscheinlich betroffen. Prüfen Sie Ihre package.json nach der Next.js-Version. Besonders kritisch: Versionen vor 15.3.0 sind für CVE-2025-29927 (Middleware-Bypass) und CVE-2025-66478 (SSRF) verwundbar.
Was passiert, wenn meine Website gehackt wird?
Angreifer können bei erfolgreicher Ausnutzung vollständige Kontrolle über Ihren Server erlangen. Das bedeutet: Zugriff auf Datenbanken, Kundendaten, API-Keys und die Möglichkeit, Malware zu verbreiten oder Ihre Website für weitere Angriffe zu missbrauchen.
Wie schnell muss ich handeln?
Sofort. CISA hat eine Frist bis 26. Dezember 2025 gesetzt. Die Schwachstellen werden aktiv von Hackergruppen ausgenutzt. Jede Stunde Verzögerung erhöht das Risiko einer Kompromittierung.
Kann ich die Updates ohne Risiko einspielen?
Die Security-Patches sind rückwärtskompatibel. Bei korrekter Anwendung sollte es keine Breaking Changes geben. Empfohlen: Zuerst in Staging-Umgebung testen, dann Production aktualisieren.
Was kostet es, die Sicherheitslücken zu schließen?
Die Patches selbst sind kostenlos. Der Aufwand für das Update liegt je nach Komplexität bei 2-8 Stunden Entwicklerzeit. Verglichen mit den potenziellen Schäden eines Hacks (Datenverlust, DSGVO-Strafen, Reputationsschaden) ist das minimal.
Muss ich nach dem Update noch etwas tun?
Ja: Rotieren Sie alle Secrets (API-Keys, Datenbankpasswörter), prüfen Sie Logs auf verdächtige Aktivitäten der letzten Wochen, und aktivieren Sie zusätzliche Schutzmaßnahmen wie WAF-Regeln oder Rate Limiting.
Fazit: Handeln Sie jetzt
Die Next.js-Sicherheitslücken 2025 gehören zu den schwerwiegendsten Web-Security-Vorfällen der letzten Jahre. Mit einem CVSS-Score von 10.0, aktiver Ausnutzung durch staatlich gesponserte Hackergruppen und Millionen betroffener Websites ist dies keine theoretische Bedrohung.
Die gute Nachricht: Patches sind verfügbar. Die Behebung ist technisch machbar. Aber Sie müssen jetzt handeln.
Wenn Sie unsicher sind, ob Ihre Website betroffen ist oder Unterstützung beim Patchen benötigen, kontaktieren Sie uns. Jede Stunde Verzögerung erhöht das Risiko einer Kompromittierung.
Benötigen Sie Unterstützung bei der Absicherung Ihrer Next.js-Anwendung?
Kostenloses Security-Assessment anfordern - Wir prüfen Ihre Installation und helfen beim Patchen.
Oder informieren Sie sich weiter:
- Next.js 15: Neue Features und Sicherheitsverbesserungen
- React 19: Was Sie wissen müssen
- Core Web Vitals nach dem Security-Update
Quellen und weiterführende Informationen:
Onur Cirakoglu ist Gründer und leitender Entwickler von HEADON.pro. Mit über 8 Jahren Erfahrung in der Webentwicklung spezialisiert er sich auf performante Next.js-Anwendungen, React Native Mobile Apps und komplexe Full-Stack-Lösungen. Seine Expertise umfasst moderne JavaScript-Frameworks, Cloud-Architekturen und SEO-optimierte Webanwendungen. Er berät Unternehmen im Main-Tauber-Kreis und darüber hinaus bei ihrer digitalen Transformation.
Expertise
Das könnte Sie auch interessieren
Weitere Artikel zu ähnlichen Themen
Next.js 15: Die wichtigsten neuen Features
Entdecken Sie die revolutionären Features von Next.js 15: Partial Prerendering, Server Actions und verbesserte Performance für Enterprise-Anwendungen.
Weiterlesen
React 19: Schnellere Websites für Ihr Unternehmen
React 19 macht Web-Anwendungen bis zu 50% schneller. Die wichtigsten Vorteile und wann ein Update lohnt.
Weiterlesen
Core Web Vitals optimieren: Ranking-Guide
Core Web Vitals sind Google-Rankingfaktor. LCP, FID und CLS optimieren für bessere Performance und Rankings.
Weiterlesen