📝 📅 Fr. 19. Dez. 2025 10:59:09 | 3 M⏱️01:33 | 379 W💬👀 57 | 89 | 1 💜9 | 16%↕ 1 T
📂 Sicherheit 🔖

React2Shell: Entwarnung für gevis ERP BC und ECM

Seit Anfang Dezember sorgt die kritische CVE‑2025‑55182 („React2Shell“) in den React‑Server‑Komponenten weltweit für Aufsehen. Viele Unternehmen fragen sich derzeit, ob auch ihre eingesetzten Systeme betroffen sein könnten.

In diesem Artikel geben wir eine klare Einschätzung für drei zentrale Systeme:

  • gevis ERP VEO, gevis ERP SaaS (Companial), gevis ERP (BC)
  • d.3 Archiv (d.velop)
  • i.r.i.s / Verify (OCR/Capture)

Hintergrund: Was ist die React‑Sicherheitslücke?

Die Schwachstelle betrifft ausschließlich moderne JavaScript‑Frameworks wie:

  • React Server Components (RSC)
  • Next.js (App Router, ab Version 15.x / 16.x)
  • RSC‑bezogene Pakete wie react-server-dom-webpack oder react-server-dom-turbopack

Durch eine fehlerhafte Deserialisierung kann ein Angreifer ohne Authentifizierung beliebigen Code auf dem Server ausführen. Betroffen sind jedoch nur Anwendungen, die diese Technologien tatsächlich nutzen.

gevis ERP BC – nicht betroffen

gevis ERP BC basiert vollständig auf Microsoft Dynamics 365 Business Central und nutzt:

  • SQL‑Server
  • Business Central Service Tier
  • Web‑ und Windows‑Clients
  • AL-Extensions
  • klassische .NET‑basierte Komponenten

React oder React‑Server‑Components kommen im gevis‑Produktstack nicht zum Einsatz.
Damit besteht keine Gefahr durch die React‑Sicherheitslücke.

d.3 Archiv – nicht betroffen

d.3 (d.velop d.3ecm) arbeitet mit:

  • .NET‑Serverdiensten
  • klassischen Thin‑Client‑/Webclient‑Technologien
  • standardisierten DMS‑APIs

Auch hier gibt es keine Verwendung von React oder Next.js.
d.3 ist somit nicht anfällig für React2Shell.

i.r.i.s / IRIS / Verify – nicht betroffen

IRIS‑/Verify‑Lösungen dienen klassisch der:

  • Texterkennung (OCR)
  • Dokumentenerfassung
  • Klassifikation und Extraktion

Technisch setzen diese Produkte auf lokalen Diensten, C++-/ .NET‑Bibliotheken und Capture‑Engines, jedoch nicht auf React‑basierten Webframeworks.
Damit besteht keine Betroffenheit.

Zusammenfassung

  • gevis ERP BC: nicht betroffen
  • d.3 Archiv: nicht betroffen
  • i.r.i.s / IRIS / Verity: nicht betroffen

None der drei Systeme nutzt Technologien, die von der React‑Sicherheitslücke betroffen wären. Es besteht kein Handlungsbedarf für Ihre eingesetzten Produktivsysteme.

Hinweis: Eigene Web‑Portale prüfen

Falls Sie im Unternehmen andere (von Drittanbietern) React‑ oder Next.js‑basierte Webanwendungen einsetzen, sollten diese separat geprüft werden. Wenden Sie sich dazu bitte an die betreffenden Dienstleister.

Fazit

Sie können beruhigt sein: gevis ERP BC, d.3 und i.r.i.s sind nicht von der React‑Sicherheitslücke betroffen. Ihre Systeme laufen weiterhin sicher und stabil.

Zusammenfassung
  1. s / IRIS / Verity: nicht betroffen None der drei Systeme nutzt Technologien, die von der React‑Sicherheitslücke betroffen wären.
  2. gevis ERP BC – nicht betroffen gevis ERP BC basiert vollständig auf Microsoft Dynamics 365 Business Central und nutzt: SQL‑Server Business Central Service Tier Web‑ und Windows‑Clients AL-Extensions klassische .
  3. s sind nicht von der React‑Sicherheitslücke betroffen.
Verwandte Beiträge
Häufige Fragen
❓Worum geht es?

Seit Anfang Dezember sorgt die kritische #Sicherheitslücke CVE‑2025‑55182 („React2Shell“) in den React‑Server‑Komponenten weltweit für Aufsehen. …

❓Hintergrund: Was ist die React‑Sicherheitslücke?

Betroffen sind jedoch nur Anwendungen, die diese Technologien tatsächlich nutzen. …

❓Welche zentralen Punkte sollte man beachten?

Falls Sie im Unternehmen andere (von Drittanbietern) React‑ oder Next.js‑basierte Webanwendungen einsetzen, sollten diese separat geprüft werden. …

❓Was sollte man dazu wissen?

d.3 (d.velop d.3ecm) arbeitet mit: .NET‑Serverdiensten klassischen Thin‑Client‑/Webclient‑Technologien standardisierten DMS‑APIs Auch hier gibt es keine Verwendung von React oder Next.js.d.3 ist somit nicht anfällig für React2Shell.

💡Fakten zu gevis ERP BC – nicht betroffen

gevis ERP BC basiert vollständig auf Microsoft Dynamics 365 Business Central und nutzt: SQL‑Server Business Central Service Tier Web‑ und Windows‑Clients AL-Extensions klassische .NET‑basierte Komponenten React oder React‑Server‑Components kommen im gevis‑Produktstack nicht zum Einsatz.Damit besteht keine Gefahr durch die React‑Sicherheitslücke.

💡Fakten zu i.r.i.s / IRIS / Verify – nicht betroffen

IRIS‑/Verify‑Lösungen dienen klassisch der: Texterkennung (OCR) Dokumentenerfassung Klassifikation und Extraktion Technisch setzen diese Produkte auf lokalen Diensten, C++-/ .NET‑Bibliotheken und Capture‑Engines, jedoch nicht auf React‑basierten Webframeworks.Damit besteht keine Betroffenheit.

👨 Über den Autor: Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor mit mehr als 35 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert