Next.js geliştiricilerinin kritik “React2Shell” güvenlik açığına karşı mücadelede yeni bir silahı var.
Bu yeni tarayıcı, geliştirme ekiplerine Next.js ve React Server Components’ın (RSC) savunmasız sürümlerini tespit etmeleri ve gerekli güvenlik güncellemelerini anında uygulamaları için basit, tek satırlı bir çözüm sunuyor.
Vercel Labs özel bir komut satırı aracı yayınladı. fix-react2shell-nextCiddi Uzaktan Kod Yürütme (RCE) kusurundan etkilenen uygulamaları otomatik olarak tespit etmek ve yamamak için tasarlanan ve artık CVE-2025-66478 olarak izlenen.
Otomatik Algılama ve Yama Uygulaması
fix-react2shell-next araç, monorepolar da dahil olmak üzere karmaşık proje yapılarını yönetmek için tasarlanmıştır.
Tümünü yinelemeli olarak tarayarak çalışır package.json Bilinen güvenlik açığı bulunan sürümlerle eşleşen bağımlılıkları bulmak için bir proje dizini içindeki dosyalar.
Özellikle birden fazla paket içeren büyük projelerde insan hatasına açık olabilen manuel güncellemelerin aksine, bu araç deterministik sürüm artışları sağlar.
Şu anda kullanımda olan sürümü tam olarak tanımlar ve resmi güvenlik tavsiyeleri tarafından önerilen ilgili güvenli yama düzeyine yükseltir.
Araç, güvenlik açığı bulunan paketleri tespit ettikten sonra otomatik olarak güncelleyebilir. package.json Dosyaları açın ve algılanan paket yöneticisini (npm, iplik, pnpm veya bun) kullanarak projenin kilit dosyasını yenileyin.
Bu otomasyon, uygulamaları React2Shell RCE’ye karşı korumak için gereken süreyi önemli ölçüde azaltır.
Güvenlik açığı, Next.js ve React Server Bileşenlerinin birden çok şubesini etkiliyor. Araç, aşağıdaki belirli sürümleri kontrol eder ve ilgili yamaları uygular:
| Mevcut Sürüm Aralığı | Gerekli Yamalı Sürüm |
|---|---|
| 15.0.0 – 15.0.4 | Şuraya güncelle: 15.0.5 |
| 15.1.0 – 15.1.8 | Şuraya güncelle: 15.1.9 |
| 15.2.0 – 15.2.5 | Şuraya güncelle: 15.2.6 |
| 15.3.0 – 15.3.5 | Şuraya güncelle: 15.3.6 |
| 15.4.0 – 15.4.7 | Şuraya güncelle: 15.4.8 |
| 16.0.0 – 16.0.6 | Şuraya güncelle: 16.0.7 |
Canary yapılarındaki kullanıcılar için 15.6.0-canary.58 ve 16.1.0-canary.12 sürümleri güvenli hedeflerdir. Daha eski sürümlerin (Next.js 14.x) 14.3.0-canary.76’ya düşürülmesi veya kararlı 15.0.5’e yükseltilmesi gerekir.
Araç ayrıca güncellenir react-server-dom-webpack, react-server-dom-parcelVe react-server-dom-turbopack.
- 19.0.0 → 19.0.1’e güncelleme
- 19.1.0, 19.1.1 → 19.1.2 Güncellemesi
Tarayıcı Nasıl Kullanılır
Geliştiriciler, aracı global olarak yüklemeden hemen çalıştırabilirler. npx.
- Etkileşimli Mod: Projenizi kontrol etmek ve düzeltmelerin uygulanıp uygulanmayacağını seçmek için: bash
npx fix-react2shell-next - Otomatik Düzeltme Modu: Sürekli Entegrasyon (CI) işlem hatları veya etkileşimli olmayan ortamlar için: bash
npx fix-react2shell-next --fix - Prova: Neyin raporunu görmek için istemek herhangi bir dosyayı değiştirmeden değiştirilebilir:bash
npx fix-react2shell-next --dry-run
Etkin istismar girişimlerinin muhtemel olması nedeniyle, Next.js veya React Server Bileşenlerinin etkilenen sürümlerini çalıştıran kuruluşların, uygulamalarının uzaktan saldırılara maruz kalmamasını sağlamak için bu tarayıcıyı hemen çalıştırmaları tavsiye edilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.