Bu blog, React2Shell güvenlik açığının yaygın ve kritik durumunu araştırıyor. Teknik bir genel bakış, önerilen hafifletme önlemleri ve insanları, süreçleri ve verileri korumaya yönelik eylemlerin yanı sıra ekibimizin bu güvenlik açığı sonrasında neler deneyimlediği ve gördüğüne ilişkin bir inceleme sunar.
Daha fazla şey öğrenildikçe Intigriti’nin raporları güncellemeye devam ettiğini, önceliklendirme ekibimizin ve araştırmacılarımızın gördükleri hakkında bilgi sağladığını ve bu içeriği en son yamalar ve düzeltmelerle düzenli olarak güncelleyeceğini lütfen unutmayın.
Açık kaynaklı bir ön uç JavaScript kitaplığı olan React, 3 Aralık 2025’te, maksimum önem derecesine sahip bir güvenlik açığının (CVSS 10) ayrıntılarını veren ‘React Sunucu Bileşenlerinde Kritik Güvenlik Açığı’ başlıklı bir blog yayınladı.
Bu güvenlik açığına (CVE-2025-55182) React2Shell adı verilmiştir (bu ad Log4Shell’e yönelik bir jesttir).
Açıklamaya göre React2Shell 29 Kasım’da rapor edildi. ‘Lachlan Davidson, React’te, React’in React Sunucu İşlevi uç noktalarına gönderilen yüklerin kodunu çözme biçimindeki bir kusurdan yararlanarak kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren bir güvenlik açığı bildirdi.’
1 Aralık’ta bir düzeltme oluşturuldu ve React ekibi azaltımları uygulamaya başladı ve düzeltmeyi kullanıma sundu. 3 Aralık’ta düzeltme CVE-2025-55182 olarak yayınlandı ve kamuya açıklandı.
Blog yayınlandığı sırada güvenlik açığı, react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack’in 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinde mevcuttu.
Burada dikkat edilmesi gereken önemli nokta, uygulamanız herhangi bir React Server Function uç noktasını uygulamasa bile blog, uygulamanızın React Server Bileşenlerini desteklemesi durumunda hala savunmasız olabileceğinizi vurgulamaktadır.
Bir varlığın React Server Components (RSC) çalıştırıp çalıştırmadığını belirlemek için çok sayıda mekanizma vardır ancak varlığın belirlenmesi, bir varlığın savunmasız olup olmadığını belirlemek için yeterli değildir.
React, bileşenlere dayalı kullanıcı arayüzleri oluşturmayı kusursuz hale getirmeyi amaçlamaktadır. React, çerçevelerin kodu çalıştırmak için kullandığı entegrasyon noktalarının yanı sıra araçları da sunar. React’in yaptığı, müşterinin HTTP isteklerini tercüme etmektir ve bunlar daha sonra sunucuya iletilir. Orada, sunucuda, HTTP isteği, gerekli verileri istemciye döndürmek için bir işlev çağrısına dönüştürülür.
Artık React2Shell ile kötü amaçlı bir HTTP isteği oluşturulup bir sunucu işlevi uç noktasına gönderilebilir ve React tarafından yeniden serileştirildiğinde söz konusu sunucuda uzaktan kod yürütme yürütülebilir.
Biz Intigriti ekibi olarak bunun ardından, bu güvenlik açığına dayalı olarak öncelik sırasına yapılan başvuruların sayısında bir artış olduğunu fark ettik.
Güvenlik açığının ilk bildirilmesinden bu yana Intigriti, React2Shell ile ilgili yüzden fazla rapor aldı.
-
Bu raporların çoğunun savunmasız ve istismar edilebilir olduğu doğrulandı.
-
Yakın zamanda keşfedilen güvenlik açıkları için bir bekleme süresi olsa da, şirketlerin bu sorundan haberdar oldukları için minnettarlıklarını göstermek amacıyla bonuslar ödüllendirdiğini görüyoruz.
Öncelikle en son sürümlere yama yapmanızı ve en son güncellemeleri uygulamanızı öneririz. Bu blog, etkilenen öğelerin her biri için yamalar sağlar.
Ekibiniz dahili olarak düzeltme ve yama yapıyor olsa da, hiçbir unsurun gözden kaçırılmadığından emin olmak için uzman araştırmacılardan yararlanmanın tam zamanı.
Hata Ödül ve Güvenlik Açığı Açıklama Programlarınızın (VDP’ler) size sağladığı değeri en üst düzeye çıkarmaya yönelik ipuçları şunları içerir:
-
Politika sayfanızı güncel tutarak araştırmacıların çabalarını nereye odaklamaları gerektiğini bilmelerini sağlayın.
-
Araştırmacıları araştırmaya teşvik etmeyi düşünün ve eğer sorunu zaten çözmüş olduğunuzu düşünüyorsanız, kör noktaları ortaya çıkarmak için ek bir teşvik oluşturun.
-
Gönderimlerin çoğu hata ödül programları aracılığıyla yapılacak olsa da, VDP’ler için React2Shell raporlarını kabul ediyorsanız topluluğunuzu güncellemeniz yine de faydalı olacaktır çünkü bunlar VDP’ler aracılığıyla da gönderilebilir.
Hızlı hareket eden ve durumu düzelten şirketler, bu güvenlik açığının etkisini azaltmada en iyi sonuçları alacaklardır.
Daha fazla bilgi almak veya ekibimizin bir üyesiyle konuşmak için bizimle buradan iletişime geçin.