React Sunucu Bileşenleri (RSC) 'Flight' protokolündeki 'React2Shell' olarak adlandırılan maksimum önem derecesine sahip bir güvenlik açığı, React ve Next.js uygulamalarında kimlik doğrulaması olmadan uzaktan kod yürütülmesine izin verir.
Güvenlik sorunu, güvenli olmayan seri durumdan çıkarmadan kaynaklanmaktadır. 10/10 önem puanı aldı ve React için CVE-2025-55182 ve Next.js için CVE-2025-66478 (Ulusal Güvenlik Açığı Veritabanında reddedilen CVE) tanımlayıcıları atandı.
Güvenlik araştırmacısı Lachlan Davidson kusuru keşfetti ve bunu 29 Kasım'da React'e bildirdi. Bir saldırganın, React Sunucu İşlevi uç noktalarına özel hazırlanmış bir HTTP isteği göndererek uzaktan kod yürütme (RCE) gerçekleştirebileceğini buldu.
React'in güvenlik tavsiyesi, "Uygulamanız herhangi bir React Server Function uç noktasını uygulamasa bile, uygulamanız React Server Bileşenlerini [RCS] destekliyorsa yine de savunmasız olabilir" uyarısında bulunuyor.
Varsayılan yapılandırmalarındaki aşağıdaki paketler etkilenir:
React, kullanıcı arayüzleri oluşturmaya yönelik açık kaynaklı bir JavaScript kütüphanesidir. Meta tarafından korunur ve ön uç web geliştirme için her boyuttaki kuruluş tarafından geniş çapta benimsenir.
Vercel tarafından sağlanan Next.js, React üzerine kurulmuş, sunucu tarafı oluşturma, yönlendirme ve API uç noktaları ekleyen bir çerçevedir.
Her iki çözüm de, mimarilerin daha hızlı ve daha kolay ölçeklendirilmesine ve dağıtılmasına yardımcı olan ön uç uygulamalar aracılığıyla bulut ortamlarında yaygın olarak mevcuttur.
Wiz bulut güvenliği platformundaki araştırmacılar, güvenlik açığından yararlanmanın kolay olduğu ve etkilenen paketlerin varsayılan yapılandırmasında mevcut olduğu konusunda uyarıyor.
React'a göre güvenlik açığı 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinde mevcut. Next.js, 14.3.0-canary.77 ile başlayan deneysel canary sürümlerinde ve yamalı sürümlerin altındaki 15.x ve 16.x dallarının tüm sürümlerinde etkilenir.
Kusur, React Server Components (RSC) tarafından kullanılan 'react-server' paketinde mevcuttur, ancak Next.js, bunu RSC "Flight" protokolünün uygulanması yoluyla devralır.
Wiz araştırmacıları, görünürlüğe sahip oldukları tüm bulut ortamlarının %39'unun, CVE-2025-55182, CVE-2025-66478 veya her ikisine karşı savunmasız Next.js veya React çalıştıran sürümlerin örneklerini içerdiğini söylüyor.
Aynı güvenlik açığı muhtemelen Vite RSC eklentisi, Parcel RSC eklentisi, React Router RSC önizlemesi, RedwoodSDK ve Waku dahil olmak üzere React Server'ı uygulayan diğer kitaplıklarda da mevcut.
Yazılım tedarik zinciri güvenlik şirketi Endor Labs, React2Shell'in "sunucunun gelen RSC yüklerinin yapısını doğru şekilde doğrulayamadığı, mantıksal olarak güvenli olmayan bir seri durumdan çıkarma güvenlik açığı olduğunu" açıklıyor.
Saldırgandan hatalı biçimlendirilmiş veriler alınırken bir doğrulama hatası yaşanıyor ve bu da sunucu bağlamında ayrıcalıklı JavaScript kodunun yürütülmesine neden oluyor.
Davidson, teknik ayrıntıları yayınlayacağı bir React2Shell web sitesi oluşturdu. Araştırmacı aynı zamanda gerçek olmayan kavram kanıtı (PoC'ler) istismarlarının olduğu konusunda da uyarıyor.
Araştırmacı, bu PoC'lerin vm#runInThisContext, child_process#exec ve fs#writeFile gibi işlevleri çağırdığını, ancak gerçek bir istismarın buna ihtiyaç duymadığını söylüyor.
Davidson, "Bu, yalnızca müşterilerin bunları çağırmasına bilinçli olarak izin vermeyi seçmiş olsaydınız kullanılabilir olurdu; bu da ne olursa olsun tehlikeli olurdu" diye belirtiyor.
Ayrıca, sunucu işlevleri listesinin otomatik olarak yönetilmesi nedeniyle bu işlevlerin mevcut olmaması nedeniyle bu sahte PoC'lerin Next.js ile çalışmayacağını da açıkladı.
Geliştiricilerin, React 19.0.1, 19.1.2 ve 19.2.1 sürümleri ile Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ve 16.0.7 sürümlerinde bulunan düzeltmeleri uygulamaları şiddetle tavsiye edilir.
Kuruluşlar, güvenlik açığı bulunan bir sürümü kullanıp kullanmadıklarını belirlemek için ortamlarını denetlemeli ve riski azaltmak için uygun eylemi gerçekleştirmelidir.
React'ın Node Paket Yöneticisi'nde (NPM) 55,8 milyon, Next.js'nin ise aynı platformda 16,7 milyon olması nedeniyle, iki çözümün popülaritesi haftalık indirme sayısına da yansıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Çin bağlantılı saldırılarda aktif olarak kullanılan kritik React2Shell kusuru
React2Shell kusuru 30 kuruluşu ihlal edecek şekilde istismar edildi ve 77 bin IP adresi savunmasız kaldı
ImunifyAV'daki RCE kusuru, Linux tarafından barındırılan milyonlarca siteyi riske atıyor
Yaklaşık 50.000 Cisco güvenlik duvarı aktif olarak istismar edilen kusurlara karşı savunmasız
RCE saldırılarına karşı savunmasız olan 3.000 Apache ActiveMQ sunucusu çevrimiçi olarak açığa çıktı
Kaynak: Bleeping Computer