React Server Bileşenlerinde maksimum önem derecesine sahip bir uzaktan kod yürütme (RCE) kusuru olan CVE-2025-55182’ye yönelik bir kavram kanıtlama (PoC) istismarı bu hafta kamuoyuna açıklandı ve dünya çapındaki geliştiriciler için alarmları artırdı.
Bazı araştırmacılar tarafından “React2Shell” olarak adlandırılan güvenlik açığı, CVSS puanı 10,0’dır ve App Router kullanan Next.js 15.x ve 16.x’in yanı sıra React 19.0.0 ila 19.2.0 sürümlerini de etkilemektedir. Açıkça sunucu işlevlerini uygulamayan uygulamalar bile, React Server Bileşenlerini (RSC) destekliyorlarsa açıkta kalır.
Güvenlik araştırmacısı @maple3142, Node.js yükünü enjekte eden basit, çok parçalı bir HTTP isteğini sergileyen bir Twitter gönderisi aracılığıyla bu istismarı gösterdi.
Demo tetiklenir alt süreçkimlik doğrulaması olmadan hedef sunucuda bir Linux hesap makinesini açarak.
Eşlik eden bir video, React’in Flight protokolü aracılığıyla kusurdan yararlanan, “$B1337” etiketli Blob referansları gibi tekniklerle serileştirme korumalarını atlayan kıvrılma benzeri bir komutu yakalıyor. CTF tarzı bir “JS hapishanesi” mücadelesi olarak çerçevelenen ortak ana fikir, kaçınma yöntemlerine ilişkin soruların yanı sıra topluluktan övgü topladı.
Temel neden, hatalı biçimlendirilmiş yüklerin nesne prototiplerini kirlettiği ve sunucu tarafı yürütmeyi ele geçirdiği RSC Uçuş protokolü içindeki güvenli olmayan seri durumdan çıkarmada yatmaktadır.
Lachlan Davidson tarafından keşfedilen ve 29 Kasım’da sorumlu bir şekilde Meta ve Vercel’e açıklanan sorun, 3 Aralık’ta kamuoyuna duyuruldu ve hızlı yamalar uygulanmasına yol açtı.
CVE-2025-55182 için ağdaki savunmasız uç noktaları belirlemek amacıyla yeni bir tarayıcı aracı da tanıtıldı.
Amazon tehdit istihbaratı, ifşa edildikten birkaç saat sonra Earth Lamia gibi Çin bağlantılı grupların istismar girişimlerinde bulunduğunu bildirdi. Wiz Research, bulut ortamlarının %39’unun savunmasız örnekleri barındırdığını ve 968.000’den fazla sunucuyu taradığını tahmin ediyor.
Palo Alto Networks Birim 42 ve diğerleri, saldırının yalnızca RSC uç noktalarına hazırlanmış bir POST isteği gerektirdiğini ve testlerde %100’e yakın güvenilirlik elde edildiğini doğruladı. React’ın resmi tavsiyesi, kusurun popüler çerçevelerin varsayılan yapılandırmalarında devam ettiğine dikkat çekerek, yükseltmelerin derhal yapılması çağrısında bulunuyor.
Geliştiriciler dağıtımları denetlemeli, React 19.2.1+ ve Next.js güncellemelerindeki yamaları uygulamalı ve anormallikleri izlemelidir.
Henüz yaygın bir ihlal doğrulanmamış olsa da PoC’nin basitliği, üretim ortamlarındaki riskleri artırıyor. Bu olay, modern JavaScript yığınlarında sunucu tarafı oluşturmanın tehlikelerinin altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
