Web siteleri ve bulut ortamlarında yaygın olarak kullanılan açık kaynaklı bir paket olan React Server'daki kritik seviyedeki bir güvenlik açığının ortaya çıkmasının ardından, güvenlik uzmanları teyakkuza geçti. Bu açık, saldırganların sunucularda kötü amaçlı kod çalıştırmasına imkan tanıyor ve istismar edilmesi oldukça kolay.
React, sunucularda çalışan web uygulamalarına entegre edilerek uzak cihazların JavaScript ve içerikleri daha hızlı ve daha az kaynakla işlemesini sağlıyor. İnternet sitelerinin yaklaşık %6'sı ve bulut ortamlarının %39'u tarafından kullanıldığı tahmin edilen React, bir sayfayı yeniden yüklediğimizde sadece değişen kısımları yeniden işleyerek performansı ciddi şekilde artırıyor ve sunucunun ihtiyaç duyduğu bilişim kaynaklarını azaltıyor.
Mükemmel Bir Risk Puanı: 10/10
Güvenlik firması tarafından yapılan testlerde, bu güvenlik açığının tek bir HTTP isteğiyle istismar edilebildiği ve neredeyse %100 güvenilirlik gösterdiği belirtildi. Birden fazla yazılım çatısı ve kütüphanesi, React'ın kendi uygulamalarını varsayılan olarak barındırıyor. Bu durum, uygulamalar doğrudan React işlevlerini kullanmasa bile, entegrasyon katmanının hataya neden olan kodu çağırmasıyla savunmasız kalabilecekleri anlamına geliyor.
React'ın yaygın kullanımı, özellikle bulut ortamlarında, istismarın kolaylığı ve sunucuların kontrolünü ele geçiren kod çalıştırma yeteneği, bu güvenlik açığına mümkün olan en yüksek puan olan 10 üzerinden 10'luk bir risk seviyesi kazandırdı. Sosyal medyada güvenlik uzmanları ve yazılım mühendisleri, React ile ilgili uygulamalardan sorumlu olan herkesi çarşamba günü yayınlanan güncellemeyi hemen yüklemeleri konusunda acilen uyardı.
React'ın 19.0.1, 19.1.2 veya 19.2.1 sürümleri bu hataya neden olan kodu barındırıyor. Etkilenen üçüncü taraf bileşenlerden bazıları şunlardır:
- Vite RSC eklentisi
- Parcel RSC eklentisi
- React Router RSC önizlemesi
- RedwoodSDK
- Waku
- Next.js
Güvenlik firmalarına göre, CVE-2025-55182 olarak izlenen bu güvenlik açığı, React Server Bileşenleri'nde bulunan Flight protokolünde yer alıyor. Next.js ise kendi paketindeki bu güvenlik açığını takip etmek için CVE-2025-66478 numaralı kimliği atadı.
Güvenlik açığı, kodlama işlemi sırasında dizileri, bayt akışlarını ve diğer "serileştirilmiş" formatları kodda nesnelere veya veri yapılarına dönüştüren güvensiz seri hale getirmeden kaynaklanıyor. Saldırganlar, sunucuda kötü amaçlı kod çalıştıran yükler kullanarak bu güvensiz seri hale getirmeyi istismar edebilirler. Yamalanmış React sürümleri, daha katı doğrulama ve güçlendirilmiş seri hale getirme davranışları içeriyor.
Firmalar, sunucunun özel olarak hazırlanmış, bozuk bir yük aldığında yapıyı doğru doğrulayamadığını ve bunun da saldırgan kontrolündeki verilerin sunucu tarafı yürütme mantığını etkilemesine ve ayrıcalıklı JavaScript kodunun çalıştırılmasına yol açtığını belirtti.
Her iki şirket de yöneticilere ve geliştiricilere React'ı ve ona bağımlı tüm bileşenleri güncellemelerini tavsiye ediyor. Yukarıda belirtilen uzaktan erişimli çatılar ve eklentilerin kullanıcıları, rehberlik için bakımcılarla iletişime geçmelidir.
