Güvenlik araştırmacıları, React Sunucu Bileşenlerinde, sunucuları Hizmet Reddi (DoS) saldırılarına ve kaynak kodu sızıntılarına maruz bırakan iki yeni güvenlik açığını ortaya çıkardı.
Bu kusurlar, uzmanlar geçen haftanın kritik “React2Shell” güvenlik açığı için yamaları analiz ederken keşfedildi.
Bu yeni sorunlar Uzaktan Kod Yürütülmesine (RCE) izin vermese de uygulama kararlılığı ve veri gizliliği açısından hâlâ önemli riskler teşkil ediyor.
Hizmet Reddi ve Kaynak Kodu Riskleri
Yeni kusurların en ciddisi, Yüksek önem derecesine sahip Hizmet Reddi güvenlik açığıdır.
Saldırganlar, sunucu uç noktasına özel hazırlanmış bir HTTP isteği göndererek bu durumdan yararlanabilir.
React bu kötü niyetli isteği işlediğinde, sunucu sürecini kilitleyen ve aşırı CPU kaynaklarını tüketen sonsuz bir döngüyü tetikler.
Bu, sunucunun çökmesine neden olabilir veya meşru kullanıcılar tarafından tamamen kullanılamaz hale gelebilir.
İkinci güvenlik açığı kaynak kodunun yetkisiz bir şekilde açığa çıkmasına izin veriyor.
| CVE Kimliği | Şiddet | CVSS | Güvenlik Açığı Türü |
|---|---|---|---|
| CVE-2025-55184 | Yüksek | 7.5 | Hizmet Reddi (DoS) |
| CVE-2025-67779 | Yüksek | 7.5 | Hizmet Reddi (DoS) |
| CVE-2025-55183 | Orta | 5.3 | Kaynak Koduna Maruz Kalma |
Bir araştırmacı, belirli koşullar altında, kötü niyetli bir isteğin Sunucu İşlevini kendi kaynak kodunu bir dize olarak döndürmeye zorlayabileceğini buldu.
Bu, işlev koduna gömülü hassas mantığın veya dahili veritabanı anahtarlarının sızdırılmasına neden olabilir.
React ekibi, bu hafta başında yayınlanan güncellemelerin (19.0.2, 19.1.3 ve 19.2.2 sürümleri) eksik olduğu ve bu yeni istismarlara karşı savunmasız kaldığı konusunda uyardı.
Sistemlerini yakın zamanda güncelleyen geliştiricilerin, yeni çıkan sabit sürümlere hemen yeniden güncelleme yapmaları gerekmektedir.
Güvenlik açıkları, react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack dahil olmak üzere yaygın olarak kullanılan paketleri etkiliyor.
Next.js, React Router ve Waku gibi popüler çerçeveler de bu bileşenlere güvenir ve bunlardan etkilenir.
Bu sunucu paketlerini monorepo kurulumunda kullanan React Native kullanıcıları, uyumsuzlukları önlemek için çekirdek React sürümlerini değiştirmeden belirli sunucu paketlerini güncellemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.