React ve Next.js’deki kritik bir güvenlik açığı, uzaktaki saldırganların oturum açmadan sunucularda kötü amaçlı kod çalıştırmasına izin verebilir.
Sorun, React Server Components’ı (RSC) ve tarayıcı ile sunucu arasında veri göndermek için kullanılan “Flight” protokolünü etkiliyor.
Güvenlik açıkları React için CVE-2025-55182 ve Next.js için CVE-2025-66478 olarak izleniyor. Bunlar en yüksek önem seviyesinde derecelendirilmiştir ve kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin verir.
Güvenlik Açığı Uzaktan Kod Yürütülmesine Nasıl Olanak Sağlıyor?
Çoğu durumda, bir saldırganın güvenlik açığı bulunan bir sunucudan yararlanmak için yalnızca özel hazırlanmış bir HTTP isteği göndermesi yeterlidir. Temel sorun, RSC “Uçuş” yükünün işlenmesinde güvenli olmayan seri durumdan çıkarmadır.
Sunucu kötü amaçlı bir veri aldığında yapısını doğru şekilde doğrulayamaz. Sonuç olarak, saldırgan tarafından kontrol edilen veriler sunucunun yürütme akışını etkileyebilir ve ayrıcalıklı JavaScript kodunun çalıştırılmasına neden olabilir.
| CVE Kimliği | Ürün | Savunmasız Sürümler | CVSS Puanı |
|---|---|---|---|
| CVE-2025-55182 | tepki-sunucu-dom-webpack | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 10.0 |
| CVE-2025-55182 | tepki-sunucu-dom-parsel | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 10.0 |
| CVE-2025-55182 | tepki-sunucu-dom-turbopack | 19.0.0, 19.1.0, 19.1.1, 19.2.0 | 10.0 |
| CVE-2025-66478 | Next.js | 14.3.0-canary, 15.x, 16.x (Uygulama Yönlendiricisi) | 10.0 |
Varsayılan kurulumlar savunmasız olduğundan risk ciddidir. Create-next-app ile oluşturulan ve hiçbir ekstra değişiklik yapılmadan üretim için oluşturulan standart bir Next.js uygulamasına yine de saldırı yapılabilir.
Testler, bu istismarın son derece güvenilir olduğunu ve laboratuvar koşullarında neredeyse %100’e yakın başarı sağladığını gösterdi. Wiz Research, bulut ortamlarının %39’unun React veya Next.js’nin savunmasız örneklerini içerdiğini bildiriyor.
Next.js, taradıkları ortamların %69’unda görünüyor ve bunların çoğunda halka açık uygulamalar bulunuyor. Bu, yama yapılmadığı takdirde internete açık çok sayıda sistemin risk altında olabileceği anlamına gelir.
React, react-server-dom paketlerinin 19.0.1, 19.1.2 ve 19.2.1 sürümlerinde düzeltmeler yayınladı.
Next.js ayrıca desteklenen şubelere güçlendirilmiş sürümler de gönderdi. Güvenlik açığı bulunan React sunucu uygulamasını içeren herhangi bir çerçeve veya paketleyici.
React Router RSC, Vite ve Parcel RSC eklentileri, RedwoodSDK ve Waku gibi eklentiler muhtemelen etkilenmiştir. Güvenlik ekiplerinin React, Next.js ve ilgili tüm RSC özellikli bağımlılıkları derhal yükseltmeleri isteniyor.
Barındırma sağlayıcısının yaptığı hafifletmeler riski azaltabilir ancak yama uygulamasının yerini almaz. Sistemler tamamen güncellenene kadar, açığa çıkan herhangi bir React Server Bileşeni dağıtımı, yüksek risk riski olarak değerlendirilmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
