3 Aralık 2025’te React bakımcıları, React Sunucu Bileşenlerinde (RSC) CVE-2025-55182 olarak izlenen kritik bir kimlik doğrulamasız uzaktan kod yürütme (RCE) güvenlik açığını açıkladı. Çalışan bir PoC kamuya açıklandı ve Wallarm hemen müşteri ortamlarındaki yaygın istismar girişimlerini gözlemlemeye başladı.
CVE-2025-55182 nedir?
CVE-2025-55182, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığıdır, CVSS 10.0 olarak derecelendirilmiştir ve halihazırda aktif olarak istismar edilmektedir. Daha fazla ayrıntı için bu danışma belgesine başvurabilirsiniz. Sorun, React’in react-server-dom-webpack ve react-server-dom-parcel (sürüm 19.0.0, 19.1.x, 19.2.0) gibi sunucu tarafı uygulamalarını etkiliyor.
Güvenlik açığı, özellikle moduleExports değerini döndüren RSC eylemi meta verilerinin seri durumdan çıkarılması sırasında güvenli olmayan dışa aktarma çözümünden kaynaklanıyor[metadata[2]]mülkiyet veya prototip güvenlik kontrolleri olmadan.
Herkese açık PoC, saldırganların vm.runInThisContext(…) aracılığıyla doğrudan rastgele kod yürütülmesine yol açan kötü amaçlı RSC eylemi yükleri oluşturabildiğini gösteriyor.
Nedir CVE-2025-66478?
React’ı etkileyen CVE-2025-55182’ye ek olarak sorun, CVE-2025-66478 altında takip edilen Next.js dağıtımlarını da etkiliyor. Kamuya açık raporlara göre, RSC seri durumdan çıkarma işlemindeki aynı temel kusur, RSC özellikli bileşenlerini kullanırken veya React’in sunucu-dom paketleri aracılığıyla sunucu tarafı oluşturma sırasında Next.js’yi de etkiliyor.
Başka bir deyişle: CVE-2025-66478 ayrı, yeni bir güvenlik açığı değildir; CVE-2025-55182 ile aynı RSC seri durumdan çıkarma hatasıdır ancak Next.js aracılığıyla ortaya çıkar. Bu nedenle, RSC kullanan Next.js uygulamalarının savunmasız olduğu düşünülmeli ve aynı yamalar veya azaltıcı önlemler uygulanmalıdır.
Nedir Darbe?
Başarılı bir istismar, saldırganların şunları yapmasına olanak tanır:
- Başarmak tam uzaktan kod yürütme React uygulamasını çalıştıran sunucuda.
- Dosyaları okuma ve yazmaSaldırganların izinsiz girişlerini artırmalarına, erişimi sürdürmelerine, ek araçlar dağıtmalarına veya daha fazla saldırı düzenlemelerine olanak tanır.
- Ortam ayrıcalıklarına bağlı olarak potansiyel olarak etkilenen hizmetlerin tam kontrolünü elinize alın.
Bu istismarın kimlik doğrulaması yapılmamış olması, silah haline getirilmesi son derece basit olması ve halihazırda kamuya açık bir şekilde dolaşımda olması nedeniyle risk ciddi ve acildir.
Wallarm Bu Güvenlik Açıklarına Karşı Nasıl Korunuyor?
Wallarm, CVE-2025-55182 ile ilişkili istismar girişimlerine karşı halihazırda tam koruma sağlıyor.
Spesifik olarak Wallarm, ifşa edildikten kısa bir süre sonra ilk istismar girişimlerini tespit etmeye ve engellemeye başladı. Kapsamı güçlendirmek için Wallarm, bu güvenlik açığında kötüye kullanılan güvenli olmayan sunucu tarafı yürütme yollarından yararlanma girişimlerini tanımlamak üzere tasarlanmış ek algılama kuralları da uyguladı. Bu kurallar, aşağıdakileri yapmaya çalışan saldırganların davranış özelliklerini yakalamaya odaklanır:
- Sunucu tarafı değerlendirmesini veya korumalı alan kaçışlarını tetikleyin
- Rastgele sistem komutlarını yürütün
- Yeni süreçler oluşturun veya sistem yardımcı programlarını çağırın
- Sunucudaki hassas dosyaları okuyun veya yazın
- Eylemlerini veya zincir operasyonlarını artırmak için yardımcı hizmet işlevlerinden yararlanın
Başka bir deyişle, gelişmiş korumalar, saldırganların hassas sunucu API’lerine ulaşmak ve uzaktan kod yürütmek için savunmasız RSC seri durumdan çıkarma akışını nasıl kötüye kullandıklarıyla uyumlu yararlanma modellerini tespit edecek şekilde ayarlanmıştır.
Bu korumalar otomatik olarak uygulanır ve Wallarm müşterilerinin herhangi bir işlem yapmasını gerektirmez.
PoC’nin yayınlanmasından sonraki ilk iki saat içinde Wallarm, müşteri altyapılarını hedef alan 4.100’ün üzerinde istismar girişimi gözlemledi ve sayı artmaya devam ediyor. Bu saldırıların büyük çoğunluğu, güvenlik açığını geniş ölçekte silah haline getirmeye çalışan botnet’lerden ve fırsatçı tarayıcılardan kaynaklanan, tamamen otomatikti. Çoğu denemede, halka açık PoC’de gösterilen modellerle yakından uyumlu olan neredeyse aynı RCE veri yükü yapısı yeniden kullanıldı. Böyle bir saldırının bir örneği aşağıdaki şekilde gösterilmektedir.
Önerilen Düzeltme
- React sunucu-dom paketlerini hemen yamalı sürümlere güncelleyin:
19.0.1, 19.1.2, 19.2.1 - Hassas sunucu tarafı modüllerinin gereksiz yere açığa çıkmamasını sağlamak için React Sunucu Bileşenlerine veya sunucu eylemlerine dayanan uygulama kodunu inceleyin.
- Altyapınızda React Server Bileşenlerinin halka açık olarak karşı karşıya kalan savunmasız örnekleri tespit edilirse, potansiyel tehlikeyi değerlendirmek için bir araştırma başlatın ve yama öncesinde herhangi bir yararlanma girişiminin başarılı olup olmadığını belirleyin.
Çözüm
Modern uygulamalar, karmaşık çerçevelerin ve çok sayıda bağımlılığın her an yeni güvenlik açıklarının ortaya çıkabileceği ve sıfırıncı güne maruz kalma riskinin sürekli bir gerçeklik haline geldiği ekosistemlerde çalışır. Bu, ortaya çıkan tehditlerin etkisini sınırlamak için çok katmanlı, derinlemesine savunmaya yönelik bir güvenlik stratejisine olan ihtiyacın altını çiziyor.
Wallarm bu yaklaşımı şu şekilde desteklemektedir:
- Proaktif olarak koruma web ve API sıfır günlerine karşı, genellikle istismar girişimlerini otomatik olarak engeller
- Açıkta kalan veya korumasız ana bilgisayarları belirleme API Saldırı Yüzeyi Yönetimi (AASM) sayesinde saldırganlara yönelik fırsatlar azaltılıyor
- sağlanması Wallarm Araştırma Ekibi, ortaya çıkan tehditleri sürekli olarak izliyor ve ürün korumalarını geliştiriyor Saldırganların gelişen tekniklerine ayak uydurmak için.
Sıfır gün tehditlerinin her zaman mümkün olması sayesinde Wallarm, kuruluşların dirençli kalmasına ve potansiyel saldırıların önünde kalmasına yardımcı olur.