Warum Calenso nicht betroffen ist und was technisch geprüft wurde

In den vergangenen Tagen haben sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch das React-Team eine kritische Sicherheitswarnung zu React Server Components veröffentlicht. Die Schwachstelle, geführt unter CVE-2025-55182 und bewertet mit einem CVSS-Score von 10.0, hat bei vielen Unternehmen berechtigterweise zu Verunsicherung geführt.

Wir bei Calenso haben diese Meldung sehr ernst genommen und unmittelbar eine umfassende technische Analyse gestartet, um mögliche direkte und indirekte Berührungspunkte mit den betroffenen Komponenten auszuschliessen. Das Ergebnis ist eindeutig: Calenso ist von dieser Sicherheitsluecke nicht betroffen.

Der Grund liegt sowohl in unserer eingesetzten Technologie als auch in unserer Systemarchitektur. Im Folgenden erläutern wir transparent, warum die Schwachstelle für Calenso keine Relevanz hat und welche konkreten Prüfungen unser Engineering-Team vorgenommen hat.

Deshalb ist die React Sicherheitslücke für Calenso nicht relevant

1. Keine Nutzung von React Server Components

Die gemeldete Schwachstelle betrifft ausschliesslich Setups, die React Server Components (RSC) verwenden. Calenso nutzt kein React und keine Server Components in irgendeinem Teil der Plattform.

Unser Technologie-Stack:

  • Frontend: Angular (Versionen 17–20; kein React im Build- oder Rendering-Prozess)

  • Backend: CakePHP-basiertes API-Backend plus weitere Microservices

  • Deployment: Separierte Build-Pipelines für Frontend & Backend, ohne Node-basiertes Server-Rendering von UI-Komponenten

Damit entfällt die komplette Angriffsklasse, die bei React-RSC relevant ist.

2. Keine betroffenen Bundles oder Rendering-Pfade

Die in der Warnung beschriebenen Angriffspunkte beziehen sich insbesondere auf:

  • manipulierbare RSC-Payloads

  • fehlerhafte Serialisierung in React-Server-Laufzeitumgebungen

  • angreifbare Bundles, die serverseitige Komponentenlogik ausliefern

  • gefährliche Kombinationen aus SSR (Server-Side Rendering) und RSC-Hydration

Calenso setzt keine dieser Mechanismen ein. Unsere Angular-Anwendung wird vollständig clientseitig kompiliert und statisch ausgeliefert. Es gibt keine serverseitige Komponenteninterpretation, keine RSC-Hydration und keine payload-basierten Server-Render-Pipelines.

3. Prüfung aller Build-Artefakte und Abhängigkeiten

Obwohl Calenso keine React-Technologien verwendet, haben wir zusätzlich eine tiefgehende technische Analyse durchgeführt:

Überprüft wurden folgende Komponenten: 

  • Node-Dependencies unserer Frontend-Builds

  • Build-Artefakte der CI/CD-Pipelines

  • Paketabhängigkeiten der Backend-Services

  • Container-Images und deren Bibliotheken

  • indirekte Dependencies über Third-Party-npm-Pakete

  • mögliche Einbindung von React-Bibliotheken in Untermodulen oder Admin-Tools

Ergebnis: Es existiert keinerlei direkte oder indirekte Abhängigkeit zu React Server Components oder den betroffenen Laufzeitbibliotheken.

4. Architekturbedingt unkritisch

Die Calenso-Architektur schützt uns in diesem Fall zusätzlich strukturell:

  • Angular rendert ausschliesslich im Browser.

  • Es gibt keinen serverseitigen Komponenten-Interpreter.

  • API-Calls sind klar isoliert und werden nicht mit UI-Rendering vermischt.

  • Serialisierte Payloads aus dem Frontend werden nie dynamisch evaluiert.

Damit können die in den Security Advisories beschriebenen Angriffsvektoren architekturbedingt nicht auftreten.

5. Laufende Sicherheitsüberwachung

Auch wenn Calenso nicht betroffen ist, bleibt Sicherheit ein zentraler Teil unserer Plattformstrategie:

  • kontinuierliches Monitoring von CVEs & Advisories

  • regelmässige Dependency-Audits

  • automatisierte Sicherheits-Scans in CI/CD

  • manuelle Code-Reviews im Security-Team

  • zusätzliche Prüfung durch unsere Myra-WAF und Infrastruktur-Monitoring

Wir halten unsere Kunden jederzeit proaktiv auf dem Laufenden, wenn relevante Sicherheitsrisiken auftreten könnten.

Offizielle Quellen

Für alle, die sich weitergehend über die Schwachstelle informieren möchten, empfehlen wir die Originalmeldungen:

Ähnliche Artikel

Weiterlesen