React2Shell Açığı: CISA’nın Listesine Eklenen Kritik Güvenlik Sorunu
2025 yılı itibarıyla, CVE-2025-55182 olarak adlandırılan bir güvenlik açığı, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından “Bilinen Kötüye Kullanılan Zafiyetler” (KEV) listesine eklendi. Bu açığın, React Server Components (RSC) üzerinde etkiler yarattığı ve aktif istismar vakalarının raporlandığı belirtiliyor.
Güvenlik Açığının Özellikleri
CVE-2025-55182, uzaktan kod yürütme (RCE) ile alakalı bir zafiyettir. Bu açığı istismar edebilen bir saldırgan, izinsiz erişim sağlamadan, özel bir kurulum gerektirmeden bu açığı kullanabilir. CISA’nın yaptığı açıklamalara göre, Meta’nın React Server Components’ında, kullanıcı doğrulaması gerektirmeden zararlı kodların yürütülmesine olanak tanıyan bir hata bulunmaktadır.
Hatanın Kaynağı: Güvensiz Deserilalizasyon
Bu güvenlik sorunu, React kütüphanesinin Flight protokolündeki güvensiz deserilalizasyondan kaynaklanıyor. Saldırganlar, özel olarak hazırlanmış HTTP istekleri göndererek sunucuda istedikleri komutları çalıştırabilirler. Martin Zugec, Bitdefender’dan önemli bir açıklamada bulunarak, bu tür güvenlik açıklarının son derece tehlikeli olduğunu ve problemli nesne referanslarının nasıl işlendiği konusunda dikkatli olunması gerektiğini vurgulamıştır.
Etkilenen Kütüphaneler ve Çözümler
Güvenlik açığı, react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack gibi kütüphanelerin 19.0.1, 19.1.2 ve 19.2.1 versiyonlarıyla giderilmiştir. React’in yanı sıra, bu kütüphaneleri kullanan bazı çerçeveler de etkilenmiştir. Örneğin, Next.js, React Router, Waku, Parcel, Vite ve RedwoodSDK gibi popüler araçlar da bu zafiyetten olumsuz etkilenmektedir.
Saldırıların Boyutu ve Etkisi
Amazon’un, Çin merkezli siber suç gruplarının açığı kullanmaya yönelik saldırı girişimlerini gözlemlediği bildirilmektedir. Censys tarafından sağlanan verilere göre, internet üzerinde yaklaşık 2.15 milyon açıktan etkilenmiş durumdadır. Bu durum, saldırganların çeşitli yöntemlerle (örneğin, kripto para madencileri dağıtmak) açığı istismar etmeye çalıştığını göstermektedir.
Palo Alto Networks’in Unit 42 birimi, şu ana kadar 30’dan fazla etkilenen organizasyonu gözlemlemiştir. Yani bu zafiyet, birçok sektörde önemli tehdit oluşturmaktadır.
Hızla Güncelleme Yapılması Gerekiyor
Güvenlik araştırmacısı Lachlan Davidson, açığı keşfettikten sonra birkaç proof-of-concept (PoC) yayımlamıştır. Bu durum, kullanıcıların sistemlerini en kısa sürede güncellemelerini zorunlu kılar. Federal Sivil İdari Daire (FCEB) ajanslarının, 26 Aralık 2025 tarihine kadar gerekli güncellemeleri yapmaları gerekmektedir.
Sonuç
Kritik React2Shell açığı, siber güvenlik alanında önemli bir tehdit teşkil etmektedir. Kullanıcıların ve organizasyonların bu zafiyete karşı dikkatli olmaları ve güncellemeleri ihmal etmemeleri son derece önemlidir. Bütün bu gelişmeler, siber güvenlik alanında proaktif bir yaklaşımın ne kadar gerekli olduğunu bir kez daha ortaya koymaktadır.
