Araştırmacılar, React Server Components’ta kimlik doğrulama olmadan uzaktan kod çalıştırmaya yol açan kritik bir açık ortaya çıkardı. 3 Aralık 2025’te duyurulan CVE-2025-55182, “CVSS 10.0” şiddetiyle değerlendiriliyor ve özellikle web sunucularını ve özel bulut altyapılarını hedef almak için düşük eforla kullanılabiliyor. React ekibi acil güncelleme çağrısı yaptı. Açığın Next.js tarafındaki etkisi CVE-2025-66478 olarak ayrı izleniyor.
Sorunun kökeni, React’in Server Function uç noktalarına gönderilen RSC (Flight) yüklerini çözümleme biçimindeki güvensiz ayrıştırmadan kaynaklanıyor. Kötü niyetli bir HTTP isteğiyle, sunucuda istenmeyen işlemler tetiklenebiliyor; uygulamanız Server Functions tanımlamasa bile RSC destekliyorsa risk altına girebiliyor.
Kimler Etkileniyor?
- React 19 kullanan ve RSC içeren projelerde şu paket sürümleri: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0). Düzeltmeler 19.0.1, 19.1.2 ve 19.2.1’de.
- Next.js App Router kullanan 15.x ve 16.x sürümleri (ayrıca 14.3.0-canary.77 ve sonrası canary’ler). Düzeltmeler: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ve 16.0.7.
- RSC’yi paketleyen diğer araç ve eklentiler (Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, Redwood, Waku) de etkilenmiş olabilir.
Sahada istismar durumu hızla değişiyor: Kanada Siber Güvenlik Merkezi, birden çok PoC’in dolaşımda olduğunu ve açığın kolay istismar edilebildiğini not ediyor. Bazı güvenlik şirketleri de vakayı “React2shell” adıyla anıp yaygın istismar uyarısı yapıyor.
Hemen Ne Yapmalı?
- Yama uygulayın: react-server-dom-* paketlerini 19.0.1/19.1.2/19.2.1’e, Next.js’i bulunduğunuz sürüm kolundaki yamalı versiyona (15.0.5–15.5.7, 16.0.7) yükseltin.
- Patch gecikecekse geçici koruma: Cloudflare, Fastly vb. WAF’lerde acil kural setlerini etkinleştirin; mümkünse Server Function uç noktalarına erişimi IP ile sınırlandırın.
- Envanter taraması yapın: monorepo’lar, container imajları ve paket kilit dosyalarında react-server-dom-* izlerini arayın; RSC’yi dolaylı içeren şablon projeleri de kontrol edin.
- Platform notu: Netlify ve Vercel, müşteri projelerini korumak için platform düzeyinde önlemler aldıklarını duyurdu; AWS de bülten paylaştı. Yine de çare güncelleme.
Hızlı kontrol ipuçları
- package-lock.json/yarn.lock içinde “react-server-dom-” arayın; varsa sürümlerin yamalı olduğundan emin olun.
- Next.js projelerinde package.json içindeki next sürümünüzün yukarıdaki düzeltme sürümleriyle uyumlu olup olmadığını denetleyin.
- Ortamınızda WAF varsa, acil kural setlerinin aktif olduğunu doğrulayın ve log’larda şüpheli “Next-Action” başlıklı istekleri gözden geçirin.
Özetle: Bu açık, modern React/Next.js tabanlı uygulamalarda “tek istekle” sunucu ele geçirmeye kadar gidebilen, istismar eşiği düşük ve etkisi geniş bir sorun. Güncelleme, WAF ve erişim kısıtlama adımlarını birlikte uygulamak riski hızla düşürür.
Kaynak: www.techspot.com