React geliştirme ekibi Çarşamba günü yaptığı açıklamada, React Sunucu Bileşenlerindeki (RSC) kritik bir güvenlik açığının (CVE-2025-55182), kimliği doğrulanmamış saldırganların uygulama sunucusunda uzaktan kod yürütmesine izin verebileceği konusunda uyardı.
Maksimum önem derecesine sahip güvenlik açığı Lachlan Davidson tarafından özel olarak rapor edildi ve düzeltildi. Şu anda, saldırganlar tarafından istismar edildiğine dair kamuya açık bir rapor yok ve (şimdilik) onaylanmış kamuya açık PoC istismarları bulunmuyor.
Bununla birlikte, etkilenen kullanıcılara React’ın ve buna bağlı olarak çeşitli kitaplıkların, çerçevelerin ve paketleyicilerin güvenlik açığı olmayan bir sürümüne yükseltmeleri önerildi.
CVE-2025-55182 (ve CVE-2025-66478) hakkında
React, geliştiricilerin web, mobil ve masaüstü uygulamaları, tek sayfalı uygulamalar ve kontrol panelleri için hızlı, etkileşimli kullanıcı arayüzleri oluşturmasına olanak tanıyan ücretsiz ve açık kaynaklı bir JavaScript kitaplığıdır.
React Sunucu Bileşenleri (RSC), React uygulamalarının bazı bölümlerinin tarayıcı yerine sunucuda çalışmasına olanak tanıyan bir özelliktir. RSC, 2024’ün sonlarında React v19’da tanıtıldı.
CVE-2025-55182 (“React2Shell” olarak da bilinir), React Server Components’ın 19.0.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinde bulunan güvenli olmayan bir seri durumdan çıkarma güvenlik açığıdır ve aşağıdaki paketleri içerir: tepki-sunucu-dom-parsel, tepki-sunucu-dom-turbopackVe tepki-sunucu-dom-webpack. React v19.2.1’de yama uygulandı.
Kusurla ilgili spesifik ayrıntılar şimdilik gizlendi.
React Ekibi, “React Sunucu İşlevleri, bir istemcinin bir sunucu üzerindeki bir işlevi çağırmasına olanak tanır. React, çerçevelerin ve paketleyicilerin, React kodunun hem istemcide hem de sunucuda çalıştırılmasına yardımcı olmak için kullandığı entegrasyon noktaları ve araçları sağlar. React, istemcideki istekleri bir sunucuya iletilen HTTP isteklerine dönüştürür. Sunucuda, React, HTTP isteğini bir işlev çağrısına dönüştürür ve gerekli verileri istemciye döndürür,” diye açıkladı.
“[CVE-2025-55182 may allow] kimliği doğrulanmamış bir saldırgan [to] Herhangi bir Sunucu İşlevi uç noktasına, React tarafından seri durumdan çıkarıldığında sunucuda uzaktan kod yürütülmesini sağlayan kötü amaçlı bir HTTP isteği oluşturun. Uygulamanız herhangi bir React Server Function uç noktasını uygulamasa bile, uygulamanız React Server Bileşenlerini destekliyorsa yine de savunmasız olabilir.”
Güvenlik açığı ayrıca React’e bağlı olan veya güvenlik açığı bulunan React paketlerini içeren diğer çerçeveleri ve paketleri de etkiler: Next.js, React Router, Waku, Redwood SDK, Expo, Vite, Parcel ve diğerleri.
Vercel, Uygulama Yönlendiricisini kullanan Next.js uygulamalarını etkilediği için bu güvenlik açığına başka bir CVE atadı: CVE-2025-66478. Next.js’nin 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ve 16.0.7 sürümleri düzeltmeyi içerir.
React Server Bileşenlerini destekleyen bir sunucu veya çerçeve, paketleyici veya paketleyici eklentisi kullanmayan uygulamalar etkilenmez.
Mevcut azaltımlar ve yamalar
Wiz tehdit araştırmacıları, “Wiz verileri, bulut ortamlarının %39’unun CVE-2025-55182 ve/veya CVE-2025-66478’e karşı savunmasız sürümlerde Next.js veya React örneklerini içerdiğini gösteriyor” diyor.
“Next.js ile ilgili olarak, çerçevenin kendisi ortamların %69’unda mevcut. Özellikle, bu ortamların %61’inde Next.js çalıştıran genel uygulamalar var, bu da tüm bulut ortamlarının %44’ünün Next.js örneklerini (çalışan sürüme bakılmaksızın) herkese açık hale getirdiği anlamına geliyor.”
Cloudflare ve Google Cloud, web uygulaması güvenlik duvarlarını kullanan müşterileri koruyacak yeni kurallar uygulamaya koydu ancak bunların mümkün olan en kısa sürede React 19.2.1 ve Next.js’nin en son sürümüne güncellenmesi gerekiyor.
React Ekibi, React, Node.js ve diğer savunmasız çerçevelerin kullanıcıları için güncelleme talimatlarının ana hatlarını çizdi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!