Öffentliche Mitteilung: Calenso ist von der aktuellen "React Server Components" Sicherheitslücke nicht betroffen

Investigation ist abgeschlossen.

Im Zusammenhang mit den kürzlich veröffentlichten Sicherheitswarnungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der offiziellen Bekanntmachung von React zur kritischen Schwachstelle in React Server Components (RSC) hat Calenso umgehend eine umfassende Überprüfung aller betroffenen Bereiche durchgeführt.

Nach einer detaillierten Analyse können wir klar festhalten:

Calenso ist von dieser Sicherheitslücke nicht betroffen.

• Calenso verwendet keine React Server Components (RSC) in irgendeinem Teil der Anwendung.
• Die in der Warnung genannten verwundbaren Bundles und Server-Render-Mechanismen kommen bei uns nicht zum Einsatz.
• Unsere Architektur basiert auf Angular im Frontend sowie eigenen API- und Backend-Services und ist daher nicht von der beschriebenen Schwachstelle betroffen.
• Zusätzlich haben wir geprüft, ob indirekte Abhängigkeiten oder Build-Artefakte betroffen sein könnten. Dies ist nicht der Fall.

Die Sicherheit der Daten unserer Kunden hat für uns höchste Priorität. Wir beobachten die Lage weiterhin aufmerksam und passen unsere Schutzmassnahmen laufend an.

Für eigene Informationen und zur weitergehenden Einschätzung möchten wir Ihnen die offiziellen Quellen zur Verfügung stellen:

• Sicherheitswarnung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-304569-1032.pdf
• React-Sicherheitshinweis: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Für Rückfragen stehen wir Ihnen gerne zur Verfügung.

Ihr Calenso Security & Engineering Team