React Server Components Vulnerabiliteleri
React ekibi, React Server Components (RSC) içinde bulunan yeni türdeki iki açığı onarmak üzere güncellemeler yayımladı. Bu güvenlik açıkları, başarıyla istismar edilirse, Denial-of-Service (DoS) saldırılarına veya kaynak kodu ifşasına neden olabilir. Bu durum, yazılım geliştirme topluluğunu ciddi anlamda endişelendiren bir konudur.
Açıkların Gelişimi
Güvenlik araştırmacıları, CVE-2025-55182’yi (CVSS puanı: 10.0) istismar etmeye çalışırken bu yeni açıkları keşfetti. Bu açık, RSC’deki kritik bir hata olup, şu anda dünya genelinde aktif olarak kötüye kullanılmaktadır.
Üç ana güvenlik açığı şunlardır:
- CVE-2025-55184 (CVSS puanı: 7.5) – Bu açık, HTTP isteklerinden elde edilen payload’ların güvensiz deserialization’ından kaynaklanan ön kimlik doğrulama DoS açığıdır. Sunucu sürecinin sonsuz bir döngüye girmesine neden olarak, gelecekteki HTTP isteklerinin işlenmesini engelleyebilir.
- CVE-2025-67779 (CVSS puanı: 7.5) – CVE-2025-55184 için eksik bir düzeltme olup, aynı etkiyi taşır.
- CVE-2025-55183 (CVSS puanı: 5.3) – Özelleştirilmiş bir HTTP isteği ile herhangi bir Sunucu Fonksiyonu’nun kaynak kodunu ifşa edebilecek bir bilgi sızıntısı açığıdır.
Kimler Etkilendi?
CVE-2025-55184 ve CVE-2025-55183, react-server-dom-parcel, react-server-dom-turbopack, ve react-server-dom-webpack’ın 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 ve 19.2.1 sürümlerini etkilemektedir. CVE-2025-67779 ise 19.0.2, 19.1.3 ve 19.2.2 sürümlerinde görülmektedir.
Kimler Tarafından Keşfedildi?
Güvenlik araştırmacıları RyotaK ve Shinsaku Nomura, Meta Bug Bounty programına iki DoS hatasını bildirdiler. Andrew MacPherson ise bilgi sızıntısı açığı için teşekkür edilmiştir. Kullanıcıların, CVE-2025-55182’nin aktif olarak incelendiği göz önüne alındığında, 19.0.3, 19.1.4 ve 19.2.3 sürümlerine bir an önce güncellemeleri yapılması önerilmektedir.
Sonuç ve Öneriler
React ekibi, “Kritik bir güvenlik açığı açıklandığında, araştırmacılar, başlangıçta uygulanan önlemlerin aşılabilir olup olmadığını test etmek için yan kod yollarını inceler,” dedi. “Bu durum, yalnızca JavaScript dünyasında değil, endüstride genel olarak görülmektedir.” Yeni açıklıkların ortaya çıkması moral bozucu olabilir; ancak genellikle sağlıklı bir yanıt döngüsünün işaretidir.
Kullanıcıların, güncellemelerini geciktirmeden sağlamaları, olası güvenlik tehditlerinden korunmaları adına büyük önem taşımaktadır.
