Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: React ve Next.js’teki Açık, Sunucularda Kötü Amaçlı Kod Çalıştırılmasına Neden Oluyor!
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » React ve Next.js’teki Açık, Sunucularda Kötü Amaçlı Kod Çalıştırılmasına Neden Oluyor!

Siber Güvenlik

React ve Next.js’teki Açık, Sunucularda Kötü Amaçlı Kod Çalıştırılmasına Neden Oluyor!

teknomers
Son güncelleme: 4 Aralık 2025 19:03
teknomers
Paylaş
Paylaş

2025 yılı sonunda meydana gelen, React2Shell olarak adlandırılan bu zafiyet, React Server Components (RSC) ‘Flight’ protokolünde bulunan kritik bir güvenlik açığıdır. Bu zafiyet, React ve Next.js uygulamalarında kimlik doğrulama gerektirmeksizin uzaktan kod yürütme (RCE) olanağı sağlayarak büyük bir tehlike oluşturuyor.

Güvenlik Açığının Ayrıntıları

Bu güvenlik sorunu, güvensiz deserialization’dan kaynaklanmaktadır. React, bu açığı 10 üzerinden 10 puanla değerlendirdi ve CVE-2025-55182 (React için) ile CVE-2025-66478 (Next.js için, ancak bu CVE, Ulusal Açık Hata Veri Tabanı’nda reddedildi) ile etiketlendi. Güvenlik araştırmacısı Lachlan Davidson, bu açığı 29 Kasım 2025’te duyurdu. Davidson, bir saldırganın, özel olarak şekillendirilmiş bir HTTP isteği göndererek React Server Function uç noktalarında uzaktan kod yürütme (RCE) gerçekleştirebileceğini tespit etti.

React tarafından yayımlanan güvenlik duyurusuna göre, uygulamanız herhangi bir React Server Function uç noktası uygulamasa bile, React Server Components (RCS) destekliyorsa hala savunmasız olabilir.

Etki Alanı ve Etkilenen Paketler

Etki alanı oldukça geniştir ve aşağıdaki paketler varsayılan yapılandırmaları ile etkilenmektedir:

  • react-server-dom-parcel
  • react-server-dom-turbopack
  • react-server-dom-webpack

React, Meta tarafından sürdürülen ve ön uç web geliştirmede geniş çapta benimsenmiş bir açık kaynak JavaScript kütüphanesidir. Diğer yandan, Vercel tarafından geliştirilen Next.js, React üzerine inşa edilmiş bir çerçevedir ve sunucu tarafında render etme, yönlendirme ve API uç noktaları ekler.

Wiz bulut güvenliği platformunda yapılan araştırmalar gösteriyor ki, bu zafiyet, etkilenen paketlerin varsayılan yapılandırması altında kolaylıkla sömürülebilmektedir.

Etki ve Çözümler

React, zafiyetin 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinde mevcut olduğunu belirtmektedir. Next.js ise 14.3.0-canary.77 ile başlayan deneme sürümlerinde etkilenmekte ve 15.x ve 16.x dallarından, yamanmamış tüm sürümler bu zafiyetten etkilenmektedir. Wiz araştırmacıları, bulundukları ortamlarda 39% oranında Next.js veya React kullanılan ortamların bu zafiyete maruz kaldığını ortaya koymuştur.

Bu zafiyet, React Server Components (RSC) tarafından kullanılan ‘react-server’ paketinde bulunmaktadır ve Next.js, RSC “Flight” protokolünün uygulanması yoluyla bu zafiyeti miras alır. Yazılım tedarik zinciri güvenliği şirketi Endor Labs, React2Shell’in “mantıksal olarak güvensiz deserialization zafiyeti” olduğunu ve sunucunun gelen RSC payload’larının yapısını doğrulamakta başarısız olduğunu açıklamaktadır.

Davidson, React2Shell web sitesi oluşturmuştur ve burada teknik detayları yayımlamayı planlamaktadır. Ayrıca gerçek olmayan kanıt konsepti (PoC) istismarları hakkında uyarılarda bulunmaktadır.

Geliştiricilerin, React 19.0.1, 19.1.2 ve 19.2.1 sürümleri ile Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 ve 16.0.7 sürümlerinde mevcut olan güncellemeleri uygulamaları şiddetle önerilmektedir. Kurumlar, ortamlarda bu zafiyetten etkilenen sürümlerin kullanım durumlarını denetlemeli ve gerekli önlemleri almalıdır.

React’in haftalık indirme sayısı 55.8 milyon, Next.js’in ise 16.7 milyon olarak kaydedilmiştir, bu da iki çözümün popülaritesinin önemli bir göstergesidir.

Güncel Siber Güvenlik Haberleri – 2

Contents
  • Güvenlik Açığının Ayrıntıları
  • Etki Alanı ve Etkilenen Paketler
    • Etki ve Çözümler
İnsanlar neden hala GTA 5 alıyor?
Cloudflare Rekor Kıran DDoS Saldırısını Saniyede 26 Milyon İstekle Zirveye Çıkardı
Yeni ICS Kötü Amaçlı Yazılımı ‘FrostyGoop’ Kritik Altyapıyı Hedef Alıyor
SolarWinds Web Yardım Masası’nda Sabit Kodlanmış Kimlik Bilgisi Güvenlik Açığı Bulundu
Popüler Uzak Masaüstü Yazılımı Parola Sıfırlamayı Zorunlu Hale Getiriyor
ETİKETLENDİ:AçıkAmaçlıÇalıştırılmasınaKodKötüNedenNext.jstekiOluyorReactsunucularda
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Apple Watch SE 3 Hala Cyber Monday İndiriminde: Kaçırmayın!
Sonraki Makale 2025’te Her Golfer İçin En İyi 19 Golf Hediyesi Önerisi

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Bethesda ve Obsidian Rekabeti Hakkında Gerçekleri Aydınlatıyor
Oyun
Sony PlayStation 5’i Tekrar Bilgisayar Yapacak 10 Bin Dolar Ödül!
Genel
Databricks’in 188 milyar dolarlık değeri, AI dünyasında parlıyor
Yapay Zeka
Taylor Farms’dan İnovatif Adım: Buzlu Marul Çekiliyor
Liste
Kritik: wp2shell Açığı ile Yetkisiz Saldırganlar Kod Çalıştırabilir
Siber Güvenlik
Zoox’tan Yazılım Geri Çağırma: Robotaksi Yoğun Dumanla Yanlış Yön Buldu
Genel
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?