Metropol İstanbul, C1 Blok: 2B/376 Ataşehir, İstanbul
+90 850 302 47 01
info@sentrasecurity.com.tr

React2Shell: Kritik RCE Güvenlik Zafiyeti

"Dijital dünyanızın zırhını ören siber güvenlik danışmanlığı"

reactimg

CVE-2025-55182 ve CVE-2025-66478 olarak takip edilen, React Server Components üzerinde tespit edilen kritik uzaktan kod çalıştırma açığı (React2Shell), React ve Next.js ekipleri tarafından doğrulandı. Bu zafiyet, kimlik doğrulaması olmadan sunucu tarafında kod yürütülmesine imkân tanıdığı için modern web uygulamaları açısından ciddi bir güvenlik riski oluşturuyor.

Bu açık, temelde güvensiz veri ayrıştırmasından kaynaklanıyor. React’ın sunucu tarafındaki istek çözümleme süreci saldırgan tarafından kontrol edilen verileri uygun şekilde doğrulamadığından, uygulamada herhangi bir server function tanımlı olmasa bile kod çalıştırılabiliyor.

React ve Next.js’nin devasa kullanım hacmi düşünüldüğünde bu zafiyetin oluşturabileceği etki oldukça geniş.

1
React2Shell Zafiyetinin Özeti
react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack paketleri sunucu fonksiyonlarının yeniden oluşturulması sırasında güvensiz bir özellik çözümleme yöntemi kullanıyor. 19.0.0, 19.1.0, 19.1.1 ve 19.2.0 sürümleri ile çok sayıda canary, rc ve deneysel sürüm bu sorunlardan etkileniyor. Next.js tarafında ise 14.3.0-canary.77 ile 14.3.0-canary.88 arasındaki sürümler ile 15.x ve 16.x sürümleri etkilenmiş durumda. Server function kullanmıyor olsanız bile React Server Components desteği varsa uygulamanız savunmasız olabilir. Saldırgan tarafından hazırlanmış özel bir HTTP isteği, çözümleme sürecine kötü amaçlı metadata enjekte ederek modül yapısına erişim sağlayabiliyor. Bu da tek bir istekle tamamen yetkisiz kod çalıştırmaya yol açabiliyor.
2
Etkilenenler

Aşağıdaki paket sürümlerinden herhangi biri kullanılıyorsa zafiyetten etkileniyorsunuz:

  1. react-server-dom-webpack / parcel / turbopack
    19.0.0, 19.1.0, 19.1.1, 19.2.0
  2. Next.js
    ≥14.3.0-canary.77, <14.3.0-canary.88, 15.x, 16.x
  3. React Router, Waku, Redwood, Vite RSC eklentisi ve Parcel RSC gibi birçok çözüm de bu paketlerin güvenlik açığı içeren sürümlerini gömülü olarak kullanıyor olabilir.
3
Geçici Koruma
Web uygulama güvenlik duvarları (WAF), belirli kötü amaçlı istekleri filtreleyerek kısmi koruma sağlayabilir. Ancak bu kalıcı bir çözüm değildir.
4
Kalıcı Çözüm

React ve Next.js’in güncellenmiş sürümlerine geçiş yapılması zorunludur. Güvenli sürümler şu şekildedir

  1. React
    19.0.1, 19.1.2, 19.2.1

  2. Next.js
    14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

    Zafiyet içeren sürümler npmjs üzerinde kullanımdan kaldırıldı ve listelenmiyor.

5
React Kullanan Tüm Uygulamalar İçin Öneri
Server function kullanmadığınızı düşünseniz bile framework’ler bu bileşenleri dolaylı olarak içerebildiği için React tabanlı tüm uygulamaların hızlı şekilde güncellenmesi gerekir
6
Son Değerlendirme
CVE-2025-55182 ve CVE-2025-66478, son yıllarda JavaScript ekosisteminde görülen en ciddi açıklardan biri olarak öne çıkıyor. Kimlik doğrulaması gerektirmemesi, saldırıların kolay uygulanabilir olması, temel bir ayrıştırma hatasına dayanması ve React’ın küresel yaygınlığı, bu olayı yüksek öncelikli bir güvenlik gündemi hâline getiriyor. Tarama faaliyetleri hızla başlamış durumda ve istismar kodları aktif olarak paylaşılmış halde. Güncellemeleri uygulamak, bu riski ortadan kaldırmanın tek güvenilir yoludur.

Etiketler

CVE-2025-55182 CVE-2025-66478 Cybersecurity React2Shell ReactJS Vulnerability Threat Detection Zero-Day

Son Yazılar

Kategoriler

Scroll to top