Geliştiricileri ve şirketleri yakından ilgilendiren kritik bir güvenlik açığı, React Server Components (RSC) yapısını kullanan tüm projeleri etkiliyor. CVE-2025-55182 olarak takip edilen bu açık, uzaktan kod çalıştırmaya (RCE – Remote Code Execution) imkân tanıdığı için son derece tehlikeli. Next.js için ise aynı zafiyet CVE-2025-66478 koduyla takip ediliyor.
Bu güvenlik açığı, sadece React kullanan uygulamaları değil; Next.js, React Router, Vite RSC Plugin, Parcel RSC, RedwoodSDK ve Waku gibi popüler framework ve araçları da etkiliyor.
Bu rehberde, açığın ne olduğunu, hangi sürümlerin risk altında olduğunu ve nasıl çözülebileceğini adım adım bulabilirsiniz.
Öne Çıkanlar
- Güvenlik açığı React Server Components’in (RSC) güvenli olmayan serileştirme işleme mekanizmasından kaynaklanıyor.
- Next.js projeleri de aynı protokolü kullandığı için CVE-2025-66478 ile etkilenmiş durumda.
- React 19 sürümlerinin bazı yayınları (19.0, 19.1.0, 19.1.1, 19.2.0) zafiyeti barındırıyor.
- RSC kullanan birçok framework ve bundler doğrudan savunmasız olabilir.
- Sorunu çözmek için hem React hem de bağlı framework’lerin güncellenmesi gerekiyor.
TL;DR – Projeniz Etkileniyor Olabilir
React veya Next.js kullanıyorsanız, RSC altyapısı otomatik olarak projeye dahil olduğu için hiç Server Function yazmamış olsanız bile etkileniyor olabilirsiniz.
Hangi Projeler Risk Altında?
Aşağıdaki yapıları kullanıyorsanız, zafiyetin sizi etkileme ihtimali çok yüksek:
- React 19.0 – 19.2.0 arası sürümler
- Next.js 14.3.0-canary.77 ve sonrası, ayrıca tüm 15.x ve 16.x sürümleri
- React Router (RSC Mode)
- Vite RSC Plugin
- Parcel RSC Plugin
- RedwoodSDK
- Waku
Bu araçlar RSC bileşenlerini gömülü olarak getirdiği için, uygulama özel bir RSC modülü kullanmasa bile risk devam eder.
Güvenlik Açığının Kaynağı
CVE-2025-55182, React Flight protokolünde yer alan serileştirme mekanizmasının güvenli olmayan bir şekilde gelen verileri işlemesinden doğuyor.
Saldırganlar özel hazırlanmış isteklerle sunucuda istenmeyen kodlar çalıştırabiliyor.
Etki:
- Uzaktan, kimlik doğrulaması olmadan kod çalıştırma
- Tam sistem kontrolü
- Kritik veri sızıntısı ve servis kesintisi
CVE Skoru: 10.0 (Critical)
Etkilenmemek İçin Yapmanız Gerekenler
1. React Sürümünü Güncelleyin
Aşağıdaki React sürümleri güvenli sürümlerdir:
- 19.0.1
- 19.1.2
- 19.2.1
Bu sürümler, RSC deserialization sürecine ek güvenlik doğrulamaları getirir.
2. Framework Güncellemelerini Uygulayın
Kullandığınız framework aşağıdakilerden biriyse son yamasına yükseltin:
- Next.js (en güncel 14.x stabil sürümü önerilir)
- React Router RSC
- RedwoodSDK
- Waku
Canary sürümler kullanıyorsanız, stable sürüme geri dönmeniz tavsiye edilir.
3. Bundler ve Plugin Güncellemelerini Yapın
Aşağıdaki araçlar kendi içinde RSC bileşenine sahip olduğu için mutlaka güncellenmelidir:
- Vite RSC Plugin
- Parcel RSC Plugin
- React Router RSC Preview
- RedwoodSDK
- Waku
4. Güncelleme Sonrası Bağımlılık Tarama Yapın
Güncellemeden sonra aşağıları doğrulamanız gerekir:
- Tüm savunmasız sürümler projeden kaldırıldı mı?
- Transitive (dolaylı) bağımlılıklar da güncellendi mi?
- Framework + bundler tümüyle yamalı sürümlerde mi çalışıyor?
Zafiyetin Arka Planı ve Teknik Detaylar
React Flight protokolü, istemci-sunucu arasında bileşenlerin seri hale getirilerek taşınmasını sağlar.
Bu süreçte sunucu tarafı gelen veriyi doğru şeklide doğrulamadığında, saldırganların:
- Veri manipülasyonu
- Yetkisiz kod çalıştırma
- Bellek yapısına müdahale
gibi işlemler yapabilmesine olanak tanıyor.
Bu nedenle, sadece sunucu fonksiyonları değil; RSC yapısını kullanan tüm framework geçiş noktaları risk altında.
