CVE-2025-55182: RCE in React-Serverkomponenten
Mitteilungs-ID: AWS-2025-030
Geltungsbereich:
AWS
Inhaltstyp:
Wichtig (erfordert Beachtung)
Veröffentlichungsdatum: 03.12.2025, 19:45 Uhr PST
Beschreibung:
AWS ist sich der kürzlich bekannt gewordenen Sicherheitslücke CVE-2025-55182 bewusst, die das React-Server-Flight-Protokoll in den React-Versionen 19.0, 19.1 und 19.2 sowie in den Next.js-Versionen 15.x, 16.x, Next.js 14.3.0-canary.77 und späteren Canary-Versionen bei Verwendung von App Router betrifft. Dieses Problem kann nicht autorisierte Remote-Codeausführung (RCE) auf betroffenen Anwendungsservern zur Folge haben.
AWS ist CVE-2025-66478 bekannt, das als Duplikat von CVE-2025-55182 abgelehnt wurde.
Kunden, die verwaltete AWS-Services nutzen, sind nicht betroffen, und es sind keine Maßnahmen erforderlich. Kunden, die eine betroffene Version von React oder Next.js in ihrer eigenen Umgebung ausführen, sollten sofort auf die neuesten gepatchten Versionen aktualisieren:
- Kunden, die React 19.x mit Serverfunktionen und RSC-Komponenten verwenden, sollten auf die neuesten gepatchten Versionen 19.0.1, 19.1.2 und 19.2.1 aktualisieren
- Kunden, die Next.js 15-16 mit App Router verwenden, sollten auf eine gepatchte Version aktualisieren
Die Standardversion (1.24) der AWS WAF „AWSManagedRulesKnownBadInputsRuleset“ enthält jetzt die aktualisierte Regel für dieses Problem. Als vorläufige Schutzmaßnahme können Kunden eine benutzerdefinierte AWS-WAF-Regel implementieren, um gegebenenfalls Missbrauchsversuche zu erkennen und zu verhindern. Weitere Informationen finden Sie unten unter „Hinzufügen einer benutzerdefinierten AWS-WAF-Regel“.
AWS überwacht aktiv die Verfügbarkeit von Updates zu diesem Thema. Wenn Sie weitere Details oder Hilfe benötigen, erstellen Sie bitte einen Fall mit AWS Support.
Hinzufügen einer benutzerdefinierten AWS-WAF-Regel (Web Application Firewall)
Um dieses Problem besser abzuwehren, können Sie eine benutzerdefinierte AWS-WAF-Regel bereitstellen. Die folgende AWS-WAF-Regel ist derzeit auf BLOCK festgelegt. Wir empfehlen, diese benutzerdefinierte Regel zu testen, um sicherzustellen, dass sie keine Störungen in Ihrer Umgebung verursacht.
.
{
"Name": "ReactJSRCE_CUSTOM",
"Priority": 99,
"Statement": {
"AndStatement": {
"Statements": [
{
"RegexMatchStatement": {
"RegexString": "POST",
"FieldToMatch": {
"Method": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)(?:next-action|rsc-action-id)",
"FieldToMatch": {
"Headers": {
"MatchPattern": {
"All": {}
},
"MatchScope": "KEY",
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)\"status\"\\s*:\\s*\"resolved_model\"",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "\\$\\@",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"RuleLabels": [
{
"Name": "ReactJSRCE_Custom"
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "ReactJS_Custom"
}
}Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.