React Server Components’ Kritikal Güvenlik Açığı
React Server Components’ta (RSC) keşfedilen yeni bir güvenlik açığı, siber güvenlik alanında büyük bir endişe kaynağı haline gelmiştir. CVE-2025-55182 olarak takip edilen bu açık, maksimum 10.0 CVSS puanıyla ciddi bir riski işaret ediyor. Bu makalede, bu açığın ne olduğunu, etkilerini ve alınması gereken önlemleri inceleyeceğiz.
Açığın Tanımı ve Etkileri
CVE-2025-55182, “unauthenticated remote code execution” (kimlik doğrulaması yapılmamış uzaktan kod çalıştırma) yeteneği sunar ve React’ın payloadları nasıl çözdüğündeki kusurlar nedeniyle ortaya çıkmaktadır. Bu durum, kötü niyetli bir saldırganın, Sunucu Fonksiyonları endpoint’lerine kötü amaçlı bir HTTP isteği göndermesiyle zararlı JavaScript kodunu sunucuda çalıştırmasına olanak tanır.
Cloud güvenliği firması Wiz, bu açığın, RSC payload’larının güvensiz bir şekilde işlenmesinden kaynaklandığını belirtiyor. Eğer uygulamanız React Server Function endpointlerini içermiyorsa bile, React Server Components’ı destekliyorsa hala saldırıya açık olabilir.
Hangi Versiyonlar Etkileniyor?
Bu güvenlik açığı, çeşitli npm paketlerinin spesifik versiyonlarını etkilemektedir:
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Etkilenen versiyonlar: 19.0, 19.1.0, 19.1.1 ve 19.2.0 olarak belirtilmektedir. Sorun, 19.0.1, 19.1.2 ve 19.2.1 versiyonlarında düzeltilmiştir.
Next.js Üzerindeki Etkisi
Next.js’nde de benzer bir güvenlik açığı tespit edilmiştir: CVE-2025-66478. Bu açık, özellikle App Router kullanımı sırasında etkili olmaktadır ve 14.3.0-canary.77, 15 ve 16 sürümlerini tehlikeye atmaktadır. Patched sürümler arasında 16.0.7, 15.5.7, 15.4.8 ve diğerleri yer alır.
Diğer Etkilenen Kütüphaneler
RSC’yi içeren diğer kütüphaneler de bu açıktan etkilenebilir. Öne çıkanlar arasında Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodJS ve Waku bulunmaktadır. Geniş bir etki alanına sahip olan bu olay, yazılımcıları ve sistem yöneticilerini derinden etkilemektedir.
Ne Yapılmalı?
Wiz, bulgularına göre, bulut ortamlarının %39’unun CVE-2025-55182 ve/veya CVE-2025-66478’e karşı savunmasız olduğunu bildiriyor. Bu etkinin ciddiyeti göz önüne alındığında, kullanıcıların en kısa sürede yamanın uygulamalarını güncellemeleri önerilmektedir.
Sonuç olarak, bu güvenlik açığı React ve Next.js kullanıcılarını doğrudan tehdit etmektedir. Kullanıcıların dikkatli olması, güncellemeleri zamanında uygulamaları ve genel güvenlik önlemlerini takip etmeleri kritik önem taşımaktadır. Siber güvenlik alanındaki bu tür açıklara karşı duyarlılığımızı artırmak, yazılım geliştirme süreçlerinde kritik bir rol oynamaktadır.
