Yönetişim ve Risk Yönetimi, Yama Yönetimi
Yaygın Olarak Kullanılan Web Çerçevesi Hatası için Doğrulanmış, Silahlı Yararlanma Kodu Artık Herkese Açık
Mathew J. Schwartz (euroinfosec) •
5 Aralık 2025
Yaygın olarak kullanılan web uygulaması çerçevesindeki React’teki kritik bir güvenlik açığı nedeniyle uyarılar yoğunlaştı; bu kusurun silah haline getirilmiş bir istismarının kamuya açıklanmasının ardından.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
CVE-2025-55182 olarak izlenen “React2Shell” güvenlik açığı, Kasım 2024’te yayımlanan sürüm 19’dan bu yana Meta tarafından geliştirilen açık kaynaklı React çerçevesinin tüm sürümlerini etkiler. Next.js çerçeve sürümleri 15.x ve 16.x’teki dosya sistemi tabanlı Uygulama Yönlendiricisi de dahil olmak üzere, etkilenen paketleri kullanan tüm çerçeveler güvenlik açığından etkilenir (bkz.: İhlal Özeti: Tepki Kusuru Tedarik Zinciri Riskini Artırıyor).
Bilgisayar korsanlarının, tam uzaktan kod yürütülmesine izin veren bu kusurdan halihazırda yararlandığı görülüyor. Amazon Web Services, kusurun Çarşamba günü kamuya açıklanmasından sonraki “saatler içinde”, Earth Lamia ve Jackpot Panda olarak takip edilen tehdit aktörleri de dahil olmak üzere “Çin devleti ile bağlantılı çok sayıda tehdit grubunun aktif istismar girişimlerini gözlemlediği” konusunda uyardı. Araştırmacılar bu grupları Asya hedeflerine odaklanan siber casusluk operasyonlarına bağladılar.
Maksimum CVSS puanı 10,0 olan güvenlik açığından, kimlik doğrulamaya gerek kalmadan HTTP kullanılarak uzaktan yararlanılabilir.
React çerçevesi yaygın olarak kullanılıyor; siber güvenlik firması Wiz, Next.js veya React’ın tüm bulut örneklerinin %39’unda çalışan savunmasız sürümlerini gözlemliyor.
Siber güvenlik firması Rapid7, React’i veya “etkilenen herhangi bir alt çerçeveyi” kullanan kuruluşların “bu güvenlik açığını normal yama döngüleri dışında ve geniş kapsamlı istismar başlamadan önce acilen düzeltmesi gerektiğini” söyledi.
Flashpoint, güvenlik açığının “React’in her yerde bulunması göz önüne alındığında önemli kurumsal ve tedarik zinciri riski oluşturduğunu: etkilenen JavaScript kitaplığının, 168.640 bağımlı ve 51 milyondan fazla haftalık indirmeyle modern kullanıcı arayüzlerini desteklediğini” belirtti.
AWS istismar uyarısı, bağımsız güvenlik araştırmacılarının test ettiği ve sahte olduğu tespit edilen çok sayıda kavram kanıtlama istismarının yayınlanmasının ardından geldi. Bu durum Perşembe günü geç saatlerde GitHub’daki güvenlik araştırmacısı @maple3142’nin CVE-2025-55182 için “Next.js 16.0.6 üzerinde çalışan” bir kavram kanıtlama istismarı yayınlamasıyla değişti.
Başta Lachlan Davidson olmak üzere birçok araştırmacı bu POC istismarının işe yaradığını doğruladı. Güvenlik açığını ilk olarak Cumartesi günü sosyal medya devi Meta’ya özel olarak bildirdi. Çarşamba günü Next.js’yi geliştiren React ve Vercel güvenlik uyarıları yayınladı. Davidson Cuma günü kendi POC istismarını yayınladı.
Kusur, React için CVE-2025-55182 ve Next.js için CVE-2025-66478 olarak takip edildi, ancak güvenlik açığı numaralandırma sisteminin arkasındaki kuruluş olan Mitre, ikinci CVE’yi kopya olduğu gerekçesiyle reddetti.
Mantıksal seri durumdan çıkarma güvenlik açığı, React Server Components paketinin girişini güvenli olmayan bir şekilde işlemesinden kaynaklanmaktadır. Wiz, “Bir sunucu özel hazırlanmış, hatalı biçimlendirilmiş bir veri yükü aldığında, yapıyı doğru bir şekilde doğrulamakta başarısız olur. Bu, saldırgan tarafından kontrol edilen verilerin sunucu tarafı yürütme mantığını etkilemesine olanak tanır ve bu da ayrıcalıklı JavaScript kodunun yürütülmesine neden olur” dedi.
Bulut hizmetleri devleri, Cuma günü Cloudflare’ın React güncellemeleriyle bağlantılı kesintileri bildirmesiyle birlikte düzeltmeler yapmak için çabalıyor gibi görünüyor.
İçerik dağıtım ağı devi, “Cloudflare’in Web Uygulaması Güvenlik Duvarının istekleri ayrıştırma biçiminde yapılan bir değişiklik, Cloudflare ağının bu sabah birkaç dakika boyunca kullanılamamasına neden oldu” dedi. “Bu bir saldırı değildi; değişiklik ekibimiz tarafından bu hafta React Server Bileşenlerinde açıklanan sektör çapındaki güvenlik açığının azaltılmasına yardımcı olmak için uygulandı.”
İngiliz araştırmacı Kevin Beaumont, güvenlik topluluğunu kolektif olarak “sakinleşmeye” ve aşırı tepki vermekten kaçınmaya çağıran bir blog yazısında, React, Next.js veya diğer alt çerçeveleri kullanan herkesin, React ve Next.js’nin en son sürümünün yanı sıra RSC kullanımının “niş bir kurulum” olarak kalması nedeniyle risk altında olmadığını söyledi.
“Geliştiricilerinize ve tedarikçilerinize henüz React v19 kullanıp kullanmadıklarını kontrol edin. Büyük ihtimalle kullanmıyorlar, bu durumda savunmasız değilsiniz” dedi.