Cloudflare’in küresel ağı, React Sunucu Bileşenlerindeki kritik bir güvenlik açığına karşı koymak üzere tasarlanan Web Uygulaması Güvenlik Duvarındaki (WAF) dahili bir değişiklik nedeniyle bu sabah yaklaşık 25 dakika süren kısa ama yaygın bir kesinti yaşadı.
GMT 8:47 civarında başlayan olay, Cloudflare Kontrol Panelini, API’leri ve proxy hizmetlerini etkileyerek Coinbase, Anthropic, Zerodha ve Groww’dan Claude AI gibi yüksek profilli platformlar da dahil olmak üzere dünya çapında sayısız web sitesinde 500 Dahili Sunucu Hatasına neden oldu.
Cloudflare’in durum sayfası kesintinin, WAF’ın gelen istekleri ayrıştırma biçimindeki değişikliklerden kaynaklandığını doğruladı; bu değişiklikler, “React2Shell” olarak adlandırılan maksimum şiddette (CVSS 10.0) uzaktan kod yürütme (RCE) kusuru olan CVE-2025-55182’yi azaltmak için acilen uygulandı.
3 Aralık’ta açıklanan bu güvenlik açığı, React’in Sunucu Bileşenleri “Flight” protokolündeki güvenli olmayan seri durumdan çıkarmadan yararlanarak, kimliği doğrulanmamış saldırganların, sunucu işlevi uç noktalarına kötü amaçlı HTTP istekleri yoluyla rastgele kod yürütmesine olanak tanır.
Etkilenen sürümler arasında React 19.0 ila 19.2.0’ın yanı sıra Next.js (15.x-16.x), React Router gibi çerçeveler ve Waku ve RedwoodSDK gibi diğerleri yer alır.
Yama dağıtımı anlık olarak geri tepti ve Cloudflare’in ağını, mühendisler onu geri alıp hizmetleri 9:20 UTC’ye kadar geri yüklemeden önce kullanılamaz hale getirdi.
Şirket, sabah boyunca yayınlanan güncellemelerde “Bu bir saldırı değildi; değişiklik ekibimiz tarafından sektör genelindeki güvenlik açığının azaltılmasına yardımcı olmak için uygulandı” dedi.
Cloudflare, açıklardan yararlanmaları engellemek için 2 Aralık’ta proaktif olarak WAF kurallarını dağıttı ve ücretsiz planlar da dahil olmak üzere tüm müşteriler için proxy trafiğini otomatik olarak korudu. Kesintiden önce bu kurallar aracılığıyla herhangi bir yararlanma girişimi tespit edilmedi.
React2Shell, AWS’nin, Earth Lamia ve Jackpot Panda gibi Çin bağlantılı gruplar tarafından ifşa edildikten birkaç saat sonra istismar edildiğini bildirmesiyle gerçek dünyanın dikkatini çekti.
Kavram kanıtı istismarları geniş çapta yayılıyor ve React 19.2.1 ve güncellenmiş Next.js sürümleri için acil yama önerilerine yol açıyor. Rapid7 ve diğerleri, açık sunucu işlevleri olmayan uygulamaların bile React Server Bileşenlerini desteklemeleri halinde risk altında kalacağı konusunda uyarıyor.
Bu, 18 Kasım’da Bot Yönetimi hatalarından kaynaklanan kesinti ve Haziran ayında Zero Trust hizmetlerini etkileyen bir olaydan sonra Cloudflare’in haftalar içindeki ikinci büyük aksaklığına işaret ediyor.
CEO Matthew Prince daha önce önceki olayı “2019’dan bu yana en kötü” olarak nitelendirdi. Cloudflare, tam kurtarma ve sürekli izlemeyi garanti ederek React kullanıcılarını hemen güncellemeye teşvik eder.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
