React Server Components’ta (RSC), başarılı bir şekilde kullanılması durumunda uzaktan kod yürütülmesine neden olabilecek maksimum önem derecesine sahip bir güvenlik açığı açıklandı.
CVE-2025-55182 olarak takip edilen güvenlik açığının CVSS puanı 10,0’dır.
React Ekibi bugün yayınlanan bir uyarıda, “React’in, React Sunucu İşlevi uç noktalarına gönderilen yüklerin kodunu çözme şeklindeki bir kusurdan yararlanarak kimliği doğrulanmamış uzaktan kod yürütülmesine” izin verdiğini söyledi.
“Uygulamanız herhangi bir React Server Function uç noktasını uygulamasa bile, uygulamanız React Server Bileşenlerini destekliyorsa yine de savunmasız olabilir.”
Bulut güvenlik firması Wiz’e göre sorun, RSC yüklerinin güvenli olmayan bir şekilde işlenmesinden kaynaklanan mantıksal seri durumdan çıkarma durumudur. Sonuç olarak, kimliği doğrulanmamış bir saldırgan, React tarafından seri durumdan çıkarıldığında sunucuda rastgele JavaScript kodunun yürütülmesini sağlayan herhangi bir Sunucu İşlevi uç noktasına kötü amaçlı bir HTTP isteği oluşturabilir.
Güvenlik açığı aşağıdaki npm paketlerinin 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerini etkiliyor:
- tepki-sunucu-dom-webpack
- tepki-sunucu-dom-parsel
- tepki-sunucu-dom-turbopack
Bu soruna 19.0.1, 19.1.2 ve 19.2.1 sürümlerinde değinilmiştir. Yeni Zelanda merkezli güvenlik araştırmacısı Lachlan Davidson, 29 Kasım 2025’te kusuru keşfedip bildirdiği için itibar kazandı.
Güvenlik açığının App Router kullanan Next.js’yi de etkilediğini belirtmekte fayda var. Soruna CVE-2025-66478 (CVSS puanı: 10,0) CVE tanımlayıcısı atandı. >=14.3.0-canary.77, >=15 ve >=16 sürümlerini etkiler. Yamalı sürümler 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 ve 15.0.5’tir.
Bununla birlikte, RSC’yi paketleyen herhangi bir kütüphanenin bu kusurdan etkilenmesi muhtemeldir. Buna Vite RSC eklentisi, Parcel RSC eklentisi, React Router RSC önizlemesi, RedwoodJS ve Waku dahildir ancak bunlarla sınırlı değildir.
Wiz, bulut ortamlarının %39’unun CVE-2025-55182 ve/veya CVE-2025-66478’e karşı savunmasız örneklere sahip olduğunu söyledi. Güvenlik açığının ciddiyeti göz önüne alındığında, kullanıcıların optimum koruma için düzeltmeleri mümkün olan en kısa sürede uygulamaları önerilir.