React ekibi, kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığını giderdikten bir haftadan kısa bir süre sonra, React Sunucu Bileşenlerini (RSC) etkileyen üç ek güvenlik açığını ortaya çıkardı.
Güvenlik araştırmacıları bu yeni sorunları, önceki “React2Shell” istismarına yönelik hafifletici önlemleri atlamaya çalışırken keşfettiler.
Orijinal RCE yaması etkili olmaya devam ederken, yeni keşfedilen güvenlik açıkları Hizmet Reddi (DoS) ve sunucu tarafı kaynak kodunun izinsiz olarak açığa çıkmasıyla ilgili riskleri beraberinde getiriyor.
React ekibi, önceki güncellemelerin (sürüm 19.0.2, 19.1.3 ve 19.2.2) tamamlanmamış bir düzeltme içerdiğini ve bunun derhal ikinci bir yükseltmeyi gerektirdiğini vurguluyor.
Yeni kusurların en ciddisi (Yüksek Önem Düzeyinde derecelendirilmiş), Hizmet Reddi vektörünü içerir. Araştırmacılar, Sunucu İşlevleri uç noktasına gönderilen kötü amaçlı bir HTTP isteğinin, React’in seri durumdan çıkarma işlemi sırasında sonsuz bir döngüyü tetikleyebileceğini buldu.
Bu, sunucu işleminin askıda kalmasına ve mevcut CPU kaynaklarının tüketilmesine neden olarak uygulamayı etkili bir şekilde çevrimdışına alır.
Ayrı bir Orta Önem Düzeyi sorunu, saldırganların Sunucu İşlevlerinin kaynak kodunu sızdırmak için HTTP isteklerini değiştirmesine olanak tanır. Çalışma zamanı sırları (ortam değişkenleri gibi) güvende kalırken, işlev içindeki herhangi bir sabit kodlanmış sır veya mantık açığa çıkarılabilir.
Güvenlik açıkları aşağıdaki tanımlayıcılar altında izlenir:
| CVE Kimliği | Güvenlik Açığı Türü | Şiddet | CVSS Puanı |
|---|---|---|---|
| CVE-2025-55184 | Hizmet Reddi | Yüksek | 7.5 |
| CVE-2025-67779 | Hizmet Reddi (Yama Atlaması) | Yüksek | 7.5 |
| CVE-2025-55183 | Kaynak Koduna Maruz Kalma | Orta | 5.3 |
Etkilenen Sürümler
Bu güvenlik açıkları şunları etkiler: tepki-sunucu-dom-webpack, tepki-sunucu-dom-parselVe tepki-sunucu-dom-turbopack paketler. Next.js, Waku ve React Router gibi çerçevelerin kullanıcıları büyük olasılıkla etkilenecektir.
Bu haftanın başlarında yayınlanan ilk yamalar eksikti. Şu anda 19.0.2, 19.1.3 veya 19.2.2 sürümlerini çalıştırıyorsanız DoS istismarına (CVE-2025-67779) karşı savunmasız kalırsınız.
Geliştiricilerin derhal aşağıdaki “güvenli” sürümlere yükseltme yapması gerekir:
- 19.0.x şubesi: Yükselt 19.0.3
- 19.1.x dalı: Yükselt 19.1.4
- 19.2.x dalı: Yükselt 19.2.3
React ekibi, yüksek profilli bir açıklamanın ardından takip eden güvenlik açıklarının keşfedilmesinin yaygın olduğunu belirtti ve bu durum, topluluk araştırmasının bitişik kusurları ortaya çıkardığı “Log4Shell” olayıyla paralellik gösteriyor. Bu keşiflerin kredisi araştırmacılar Andrew MacPherson, RyotaK ve Shinsaku Nomura’ya aittir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
