Yazılım tedarik zinciri korumasında uzmanlaşmış bir şirket olan JFrog’daki güvenlik araştırmacıları, yakın zamanda React Native mobil uygulama geliştirme çerçevesinin önemli bir bölümünde ciddi bir güvenlik sorunu buldu.
Bilginiz olsun diye söylüyorum, React Native, geliştiricilerin hem iOS hem de Android’in yanı sıra Windows ve macOS gibi platformlar için yerel mobil uygulamalar oluşturmak amacıyla kodun çoğunu JavaScript kullanarak bir kez yazmalarına olanak tanır.
CVE-2025-11953 olarak takip edilen sorun, yaygın olarak kullanılan ve her hafta yaklaşık 2 milyon kez indirilen @react-native-community/cli paketini etkiliyor. Güvenlik açığı bulunan paket, bu uygulamaları kurmak ve çalıştırmak için gerekli olan bir komut satırı aracıdır (CLI).
Uzaktan Kod Yürütme Geliştirici İş İstasyonlarını Tehdit Ediyor
Güvenlik açığı, CVSS puanı 9,8 ile kritik olarak derecelendirildi. Uzaktaki bir saldırganın Uzaktan Kod Yürütme (RCE) gerçekleştirmesine olanak tanır; bu, geliştiricinin makinesinde kendi komutlarını kolayca çalıştırabileceği anlamına gelir. Bu, iki güvenlik zayıflığının birleşimi nedeniyle mümkündür.
JFrog’un Hackread.com ile paylaşılan araştırma bloguna göre asıl teknik sorun @react-native-community/cli-server-api paketinde, özellikle de 4.8.0 ila 20.0.0-alpha.2 sürümlerinde. Bu tehlike daha sonra ikinci, ayrı bir sorunla daha da büyüyor: Yalnızca geliştiricinin bilgisayarında bulunması gereken Metro geliştirme sunucusu, varsayılan olarak internetin herhangi bir yerinden gelen bağlantıları dinleyecek şekilde yanlış ayarlanmış.
Bu varsayılan maruz kalma, birincil kusurun dışarıdan biri tarafından istismar edilebileceği anlamına gelir ve bu da tüm durumu son derece ciddi hale getirir. Ayrıca JFrog araştırmacıları, Windows’ta bunun, bir saldırganın neredeyse her komutu çalıştırabileceği rastgele işletim sistemi komutlarının yürütülmesine yol açabileceğini kanıtladı.
Blog yazarı ve JFrog’un Kıdemli Güvenlik Araştırmacısı Or Peles, Hackread.com’a şunları söyledi: “Bu sıfır gün güvenlik açığı, kullanım kolaylığı ve muazzam saldırı yüzeyi nedeniyle özellikle tehlikelidir. Ayrıca üçüncü taraf kodlarında gizlenen kritik riskleri de açığa çıkarır.”
Anında Çözümler Mevcuttur
React Native projelerine CLI’nin savunmasız bir sürümünü kullanarak başlayan ve geliştirme sunucusunu npm start veya npx react-native start gibi komutlarla çalıştıran geliştiriciler risk altındadır. İyi haber şu ki Meta’nın güvenlik ekibi olaya hızlı bir şekilde yanıt verdi. Sorun, etkilenen sunucu API paketinin 20.0.0 ve üzeri sürümlerinde düzeltilmiştir.
Araştırmacılar, geliştiricileri @react-native-community/cli-server-api’yi derhal 20.0.0 veya daha yeni bir sürüme güncellemeye çağırıyor. Güncelleme hemen mümkün değilse geçici bir çözüm, geliştirme sunucusunu yalnızca başlatma komutlarına –Host 127.0.0.1 işaretini ekleyerek yerel makineye açıkça bağlamaktır (örneğin, npx react-native start –Host 127.0.0.1).
Sonuçta bu keşif, özellikle üçüncü taraflarca geliştirilen kod kullanıldığında, yazılımda basit güvenlik kusurlarının bile hala mevcut olabileceğini gösteriyor. JFrog araştırmacıları, bulguları değerlendirerek “kolayca istismar edilebilecek bu kusurların üretime geçmeden önce engellenmesi için güvenli kodlama uygulamalarının ve otomatik güvenlik taramasının gerekli olduğunu” belirtti.