- Kritik React kusuru (CVE-2025-55182), React Sunucu Bileşenlerinde ön kimlik doğrulama RCE’sini etkinleştirir
- 19.0–19.2.0 sürümlerini ve Next, React Router, Vite gibi çerçeveleri etkiler; 19.0.1, 19.1.2, 19.2.1’de yayınlanan yamalar
- Uzmanlar, %100’e yakın başarı oranıyla istismarın yakın olduğu konusunda uyarıyor; acil yükseltmeler şiddetle tavsiye edilir
React en popülerlerden biridir JavaScript kitaplıklarıgünümüz internetinin çoğuna güç veren. Araştırmacılar yakın zamanda maksimum şiddette bir güvenlik açığı keşfettiler. Bu hata, düşük vasıflı tehdit aktörlerinin bile savunmasız örnekler üzerinde kötü amaçlı kod (RCE) yürütmesine olanak tanıyabilir.
Bu haftanın başlarında React ekibi, birden çok paketin birden çok sürümünde bulunan ve React Sunucu Bileşenlerini etkileyen bir ön kimlik doğrulama hatasını ayrıntılarıyla anlatan yeni bir güvenlik danışma belgesi yayınladı. Etkilenen sürümler arasında react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack’in 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümleri yer alıyor.
Hata şu anda CVE-2025-55182 olarak izleniyor ve 10/10 (kritik) önem puanı verildi.
Sömürü yaklaşıyor; buna hiç şüphe yok
Birden fazla React çerçevesinin ve paketleyicinin varsayılan yapılandırmalarının da bu hatadan etkilendiği söylendi; bunlar arasında next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc ve rwsdk yer alıyor.
Hatayı gideren sürümler 19.0.1, 19.1.2 ve 19.2.1’dir ve React, tüm kullanıcıları düzeltmeyi mümkün olan en kısa sürede uygulamaya teşvik eder. React ekibi “Hemen yükseltme yapmanızı öneririz” dedi.
Buna göre KayıtReact neredeyse tüm bulut ortamlarının beşte ikisine güç sağlıyor, bu nedenle saldırı yüzeyi en hafif tabirle büyüktür. Facebook, Instagram, Netflix, Airbnb, Shopify ve günümüzün webinin diğer devleri, milyonlarca geliştiricinin yanı sıra React’a güveniyor.
Maruziyet yönetimi araçları satıcısı watchTowr’un kurucusu ve CEO’su Benjamin Harris, yayına, kusurun “şüphesiz” vahşi ortamda istismar edileceğini söyledi. Aslında istismarın “yakında” olduğuna inanıyor, özellikle de tavsiye niteliğindeki makalenin yayımlandığı şu günlerde.
Wiz, hatayı test etmeyi başardı ve “bu güvenlik açığından yararlanmanın yüksek doğruluk oranına sahip olduğunu, neredeyse %100 başarı oranına sahip olduğunu ve tam uzaktan kod yürütmeye kadar kullanılabileceğini” söyledi.
Başka bir deyişle, şimdi gevşemenin zamanı değil; bu kusuru düzeltmek herkesin bir numaralı önceliği olmalıdır.
Aracılığıyla Kayıt
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.