“React2Shell” olarak adlandırılan, kimliği doğrulanmayan kritik bir uzaktan kod yürütme güvenlik açığı, aktif olarak kullanılıyor ve milyonlarca web hizmetini riske atıyor.
3 Aralık’ta React, CVSS puanı 10 olan React Sunucu Bileşenlerindeki kritik bir kusur olan CVE-2025-55182’yi açıkladı.
Güvenlik açığı, React Server Bileşenleri tarafından kullanılan “Flight” protokolündeki güvenli olmayan seri durumdan çıkarmadan kaynaklanıyor.
Saldırganlar, kimlik doğrulama gerektirmeden Sunucu İşlevi uç noktalarına özel hazırlanmış HTTP istekleri göndererek, güvenlik açığı bulunan sunucularda rastgele kod çalıştırabilir. Bu, tehdit aktörlerinin etkilenen sistemlerin tam kontrolünü ele geçirmesine olanak tanır.
Amazon Web Services araştırmacıları, aralarında Earth Lamia ve Jackpot Panda’nın da bulunduğu Çin bağlantılı tehdit aktörlerinin, bu güvenlik açığının kamuya açıklanmasından sonraki 24 saat içinde istismara başladığını bildirdi.
Saldırganlar, React Server Bileşenlerini kullanarak savunmasız bulutta barındırılan uygulamaları hedefliyor. Çoğu zaman, ilk erişimi kazandıktan kısa bir süre sonra web kabuklarını ve arka kapıları dağıtırlar.
| Alan | Detaylar |
|---|---|
| CVE-ID | CVE-2025-55182 |
| CVSS Puanı | 10,0 (Kritik) |
| Güvenlik Açığı Türü | Kimliği Doğrulanmamış Uzaktan Kod Yürütme |
| Etkilenen Sürümler | Tepki 19.0.0, 19.1.0, 19.1.1, 19.2.0 |
5 Aralık itibarıyla CISA, Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na CVE-2025-55182’yi ekleyerek bu kusurun ciddiyetini ve aktif olarak kullanıldığını vurguladı.
GreyNoise ayrıca balküplerine yönelik fırsatçı istismar girişimlerini de belgeledi; bu da internetteki yaygın tarama ve istismar faaliyetine işaret ediyor.
Censys’e göre internete yönelik yaklaşık 2,15 milyon web hizmeti bu güvenlik açığından etkilenebilir.
Bunlar arasında React Server Bileşenlerini çalıştıran açıkta kalan hizmetler ve Next.js, Waku, React Router ve RedwoodSDK gibi etkilenen çerçeveler yer alıyor.
Bu sayı, onaylanmış savunmasız sürümlerden ziyade yazılıma maruz kalmayı yansıtsa da, bu çerçevelerin popülerliği göz önüne alındığında potansiyel etkinin ölçeği önemlidir.
Güvenlik açığı, 19.0.0’dan 19.2.0’a kadar olan sürümlerdeki react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack dahil olmak üzere React Server Bileşenleri paketlerini etkiliyor.
App Router, React Router RSC önizlemesi, Waku, Vite RSC Plugin, Parcel RSC Plugin ve RedwoodSDK kullanılırken Next.js’nin 14.3.0-canary.77 ve üzeri sürümleri de dahil olmak üzere birçok popüler çerçeve bu paketlere bağlıdır.
Sunucu tarafı bileşenlerini çalıştırmayan saf istemci tarafı React uygulamaları etkilenmez.
Ancak React Server Bileşenlerini uygulayan uygulamalar, Sunucu İşlevi uç noktalarını açıkça kullanmasalar bile savunmasız kalır.
Artık sabit versiyonlar mevcut. Kuruluşlar derhal React 19.0.1, 19.1.2 veya 19.2.1’e güncelleme yapmalıdır.
Next.js kullanıcıları, mevcut sürümlerine bağlı olarak 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 veya 16.0.7 sürümlerine yükseltme yapmalıdır.
Cloudflare ve AWS dahil WAF sağlayıcıları koruyucu kural kümeleri dağıtırken, bazı kavram kanıtlama istismarları bypass tekniklerini göstermektedir. Yama uygulamak en güvenilir risk azaltma stratejisi olmaya devam ediyor.
Aktif yararlanma, maksimum önem puanı ve çerçevenin yaygın olarak benimsenmesi göz önüne alındığında, React Server Bileşenlerini çalıştıran kuruluşların bunu bir acil durum düzeltme eki önceliği olarak ele alması gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
