📝 108992  📩 📅 Fr. 19. Dez. 2025 10:59:09 | 3 W⏱️01:33 | 379 W💬👀 35 | 21 | 2 💜5 | 14%↕ 2 h
📂 Sicherheit 🔖

React2Shell: Entwarnung für gevis ERP BC und ECM

Seit Anfang Dezember sorgt die kritische CVE‑2025‑55182 („React2Shell“) in den React‑Server‑Komponenten weltweit für Aufsehen. Viele Unternehmen fragen sich derzeit, ob auch ihre eingesetzten Systeme betroffen sein könnten.

In diesem Artikel geben wir eine klare Einschätzung für drei zentrale Systeme:

  • gevis ERP VEO, gevis ERP SaaS (Companial), gevis ERP (BC)
  • d.3 Archiv (d.velop)
  • i.r.i.s / Verify (OCR/Capture)

Hintergrund: Was ist die React‑Sicherheitslücke?

Die Schwachstelle betrifft ausschließlich moderne JavaScript‑Frameworks wie:

  • React Server Components (RSC)
  • Next.js (App Router, ab Version 15.x / 16.x)
  • RSC‑bezogene Pakete wie react-server-dom-webpack oder react-server-dom-turbopack

Durch eine fehlerhafte Deserialisierung kann ein Angreifer ohne Authentifizierung beliebigen Code auf dem Server ausführen. Betroffen sind jedoch nur Anwendungen, die diese Technologien tatsächlich nutzen.

gevis ERP BC – nicht betroffen

gevis ERP BC basiert vollständig auf Microsoft Dynamics 365 Business Central und nutzt:

  • SQL‑Server
  • Business Central Service Tier
  • Web‑ und Windows‑Clients
  • AL-Extensions
  • klassische .NET‑basierte Komponenten

React oder React‑Server‑Components kommen im gevis‑Produktstack nicht zum Einsatz.
Damit besteht keine Gefahr durch die React‑Sicherheitslücke.

d.3 Archiv – nicht betroffen

d.3 (d.velop d.3ecm) arbeitet mit:

  • .NET‑Serverdiensten
  • klassischen Thin‑Client‑/Webclient‑Technologien
  • standardisierten DMS‑APIs

Auch hier gibt es keine Verwendung von React oder Next.js.
d.3 ist somit nicht anfällig für React2Shell.

i.r.i.s / IRIS / Verify – nicht betroffen

IRIS‑/Verify‑Lösungen dienen klassisch der:

  • Texterkennung (OCR)
  • Dokumentenerfassung
  • Klassifikation und Extraktion

Technisch setzen diese Produkte auf lokalen Diensten, C++-/ .NET‑Bibliotheken und Capture‑Engines, jedoch nicht auf React‑basierten Webframeworks.
Damit besteht keine Betroffenheit.

Zusammenfassung

  • gevis ERP BC: nicht betroffen
  • d.3 Archiv: nicht betroffen
  • i.r.i.s / IRIS / Verity: nicht betroffen

None der drei Systeme nutzt Technologien, die von der React‑Sicherheitslücke betroffen wären. Es besteht kein Handlungsbedarf für Ihre eingesetzten Produktivsysteme.

Hinweis: Eigene Web‑Portale prüfen

Falls Sie im Unternehmen andere (von Drittanbietern) React‑ oder Next.js‑basierte Webanwendungen einsetzen, sollten diese separat geprüft werden. Wenden Sie sich dazu bitte an die betreffenden Dienstleister.

Fazit

Sie können beruhigt sein: gevis ERP BC, d.3 und i.r.i.s sind nicht von der React‑Sicherheitslücke betroffen. Ihre Systeme laufen weiterhin sicher und stabil.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert