Post by Ahmet T.

Staff Offensive Security Engineer

Son 24 saattir Berk Dedekargınoğlu ile birlikte yaptığımız teknik analizlerde, React ve Next.js ekosistemindeki CVE-2025-55182 ve CVE-2025-66478 güvenlik açıklarının pratikte ne kadar tehlikeli olabileceğini daha net görme fırsatımız oldu. Bu zafiyetlerin CVSS 10.0 seviyesinde olmasının ötesinde, mimari açıdan Log4Shell’e benzer bir kırılma yarattığını artık rahatlıkla söyleyebiliriz. Araştırmalarımızda en çarpıcı nokta, saldırının yalnızca RSC Flight protokolünde yer alan unsafe deserialization üzerinden tetikleniyor olmasıydı. Bu mekanizma içinde herhangi bir auth kontrolü bulunmadığından, saldırganın yalnızca özel hazırlanmış bir HTTP isteği göndermesi RCE için yeterli hale geliyor. Üstelik bu durum tamamen varsayılan App Router mimarisinde dahi geçerli. React tarafında react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack paketlerini test ettiğimizde, 19.0.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinin aynı saldırı yüzeyini paylaştığını doğruladık. Güncellenmiş 19.0.1, 19.1.2 ve 19.2.1 sürümleri ilgili zafiyeti gideriyor. Next.js tarafında ise daha geniş bir yüzey ile karşılaştık. 14.3.0-canary.77’den itibaren tüm 15.x ve 16.x sürümlerinin aynı şekilde tetiklenebilir olduğunu gözlemledik. 16.0.7 sürümüyle gelen düzeltme, mimari seviyede yapılan kayda değer bir sertleştirme içeriyor. Bu çalışmada en dikkat çekici çıkarımımız, RSC Flight protokolünün kompleksliği nedeniyle zafiyetin yalnızca tek bir bileşenden ibaret olmadığı; zincirleme etkileşimler, veri işleme mantığı ve framework’ün tasarım tercihleriyle birleşerek daha geniş bir saldırı yüzeyi oluşturduğudur. Bu nedenle React2Shell olarak adlandırılan bu zafiyet yalnızca bir RCE değil, aynı zamanda modern front-end framework ekosistemlerinin nasıl güvenlik sınırları dışına taşabileceğinin de açık bir örneği. React 19 veya Next.js 15–16 kullanan ekiplerin yalnızca bağımlılık güncellemesi yapmakla kalmayıp build pipeline’larını, deploy akışlarını ve WAF/CDN kurallarını da yeniden gözden geçirmesi gerektiğini net şekilde söyleyebiliriz. Bu açık yalnızca kod seviyesinde değil, bütünsel mimari etkisiyle değerlendirilmelidir. Aşağıdaki PoC videoma da ulaşabilirsiniz. #security #react #nextjs #cybersecurity #infosec #cloudsecurity #rce #zeroday #websecurity #applicationsecurity #secops #devsecops #softwaresecurity #cve #react2shell #log4shell #CVE202555182 #CVE202566478

Post content

Video Content