React Sunucu Bileşenleri (RSC) ‘Flight’ protokolündeki ‘React2Shell’ olarak adlandırılan maksimum önem derecesine sahip bir güvenlik açığı, React ve Next.js uygulamalarında kimlik doğrulaması olmadan uzaktan kod yürütülmesine izin verir.
Güvenlik sorunu, güvenli olmayan seri durumdan çıkarmadan kaynaklanmaktadır. 10/10 ciddiyet puanı aldı ve React için CVE-2025-55182 ve Next.js için CVE-2025-66478 (Ulusal Güvenlik Açığı Veritabanında reddedilen CVE) tanımlayıcıları atandı.
Güvenlik araştırmacısı Lachlan Davidson kusuru keşfetti ve bunu 29 Kasım’da React’e bildirdi. Bir saldırganın, React Sunucu İşlevi uç noktalarına özel hazırlanmış bir HTTP isteği göndererek uzaktan kod yürütme (RCE) gerçekleştirebileceğini buldu.
“Uygulamanız herhangi bir React Server Function uç noktasını uygulamasa bile uygulamanız React Server Bileşenlerini destekliyorsa yine de savunmasız olabilir [RCS]”, React’ın güvenlik tavsiyesini uyarıyor.
Varsayılan yapılandırmalarındaki aşağıdaki paketler etkilenir:
- tepki-sunucu-dom-parsel
- tepki-sunucu-dom-turbopack
- ve tepki-sunucu-dom-webpack
React, kullanıcı arayüzleri oluşturmaya yönelik açık kaynaklı bir JavaScript kütüphanesidir. Meta tarafından korunur ve ön uç web geliştirme için her boyuttaki kuruluş tarafından geniş çapta benimsenir.
Vercel tarafından sağlanan Next.js, React üzerine kurulmuş, sunucu tarafı oluşturma, yönlendirme ve API uç noktaları ekleyen bir çerçevedir.
Her iki çözüm de, mimarilerin daha hızlı ve daha kolay ölçeklendirilmesine ve dağıtılmasına yardımcı olan ön uç uygulamalar aracılığıyla bulut ortamlarında yaygın olarak mevcuttur.
Wiz bulut güvenlik platformundaki araştırmacılar, güvenlik açığından yararlanmanın kolay olduğu ve etkilenen paketlerin varsayılan yapılandırmasında mevcut olduğu konusunda uyarıyor.
Etki ve düzeltmeler
React’a göre güvenlik açığı 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinde mevcut. Next.js, 14.3.0-canary.77 ile başlayan deneysel canary sürümlerinde ve yamalı sürümlerin altındaki 15.x ve 16.x dallarının tüm sürümlerinde etkilenir.
Kusur, React Server Components (RSC) tarafından kullanılan ‘react-server’ paketinde mevcuttur, ancak Next.js, bunu RSC “Flight” protokolünün uygulanması yoluyla devralır.
Wiz araştırmacıları, görünürlüğe sahip oldukları tüm bulut ortamlarının %39’unun, CVE-2025-55182, CVE-2025-66478 veya her ikisine karşı savunmasız Next.js veya React çalıştıran sürümlerinin örneklerini içerdiğini söylüyor.
Aynı güvenlik açığı muhtemelen Vite RSC eklentisi, Parcel RSC eklentisi, React Router RSC önizlemesi, RedwoodSDK ve Waku dahil olmak üzere React Server’ı uygulayan diğer kitaplıklarda da mevcut.
Yazılım tedarik zinciri güvenlik şirketi Endor Labs, React2Shell’in “sunucunun gelen RSC yüklerinin yapısını doğru şekilde doğrulayamadığı, mantıksal olarak güvenli olmayan bir seri durumdan çıkarma güvenlik açığı olduğunu” açıklıyor.
Saldırgandan hatalı biçimlendirilmiş veriler alınırken bir doğrulama hatası yaşanıyor ve bu da sunucu bağlamında ayrıcalıklı JavaScript kodunun yürütülmesine neden oluyor.
Davidson, teknik ayrıntıları yayınlayacağı bir React2Shell web sitesi oluşturdu. Araştırmacı aynı zamanda orijinal olmayan kavram kanıtlama (PoC) istismarlarının olduğu konusunda da uyarıyor.
Bu PoC’ler aşağıdaki gibi işlevleri çağırır: vm#runInThisContext, child_process#execVe fs#writeDosya, ancak araştırmacı, gerçek bir istismarın buna ihtiyacı olmadığını söylüyor.
Davidson, “Bu, yalnızca müşterilerin bunları çağırmasına bilinçli olarak izin vermeyi seçmiş olsaydınız kullanılabilir olurdu; bu da ne olursa olsun tehlikeli olurdu” diye belirtiyor.
Ayrıca, sunucu işlevleri listesinin otomatik olarak yönetilmesi nedeniyle bu işlevlerin mevcut olmaması nedeniyle bu sahte PoC’lerin Next.js ile çalışmayacağını da açıkladı.
Geliştiricilerin, React 19.0.1, 19.1.2 ve 19.2.1 sürümleri ile Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ve 16.0.7 sürümlerinde bulunan düzeltmeleri uygulamaları şiddetle tavsiye edilir.
Kuruluşlar, güvenlik açığı bulunan bir sürümü kullanıp kullanmadıklarını belirlemek için ortamlarını denetlemeli ve riski azaltmak için uygun eylemi gerçekleştirmelidir.
React’ın Node Package Manager’da (NPM) 55,8 milyon, Next.js’nin ise aynı platformda 16,7 milyon olması nedeniyle, iki çözümün popülaritesi haftalık indirme sayısına da yansıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.