React2Shell (CVE-2025-55182): React Server Kritik Uzak Kod Yürütme Açığı

CVE-2025-55182, React Server 'ta bulunan ve CVSS puanı 10,0 olan (mümkün olan en yüksek ciddiyet derecesi) kritik bir kimlik doğrulama öncesi uzaktan kod yürütme güvenlik açığıdır. OPSWAT Burs Programı kapsamında, bursiyerlerimiz bu güvenlik açığına ilişkin kapsamlı bir teknik analiz gerçekleştirerek React Flight deserialization protokolündeki temel nedenini, tam istismar zincirini ve modern web ekosistemindeki yaygın etkisini inceledi. Bu blog yazısı, bulgularımızı savunma uzmanları için uygulanabilir kılavuzlarla birlikte sunmaktadır.

React, modern web ve mobile önemli bir kısmını destekleyen, dünyanın en yaygın olarak kullanılan ön uç kütüphanelerinden biri haline gelmiştir. Stack Overflow geliştirici anketleri, React'i sürekli olarak en iyi web çerçeveleri arasında sıralamaktadır ve React'in küresel çapta profesyonel geliştiricilerin %40'ından fazlası tarafından kullanıldığı görülmektedir. Bu büyümeye paralel olarak, React ekibi React 19'un temel bir özelliği olarak React Server (RSC) Server tanıttı. Bu, render mantığını istemciden sunucuya taşıyan bir paradigma değişikliğidir ve optimize edilmiş performans ile sunucu tarafı ve istemci tarafı kodları arasında daha sıkı bir entegrasyon sağlar.

Ancak bu mimari gelişme, kritik öneme sahip yeni bir saldırı yüzeyi ortaya çıkardı. 29 Kasım 2025 tarihinde, güvenlik araştırmacısı Lachlan Davidson, React’ın sunucu tarafındaki deserializasyon mantığındaki bir güvenlik açığını Meta’nın Hata Ödül Programı’na bildirdi. 3 Aralık 2025 tarihinde CVE-2025-55182 olarak kamuoyuna açıklanan bu güvenlik açığı, tek bir özel olarak hazırlanmış HTTP isteği yoluyla kimlik doğrulaması gerektirmeyen uzaktan kod yürütülmesine olanak tanıyor. CWE-502 (Güvenilmeyen Verilerin Deserializasyonu) olarak sınıflandırılan bu güvenlik açığı, kimlik doğrulama, kullanıcı etkileşimi veya özel uygulama yapılandırması gerektirmez; üretim için oluşturulmuş varsayılan bir create-next-app dağıtımı anında istismar edilebilir.

React, Meta ve geniş bir açık kaynak topluluğu tarafından geliştirilen, kullanıcı arayüzleri oluşturmaya yönelik bir JavaScript kütüphanesidir. React 19 ile tanıtılan React Server (RSC), React uygulamalarının render işlemini gerçekleştirme biçiminde temel bir değişimi temsil eder. Tamamen tarayıcıda çalışan geleneksel istemci bileşenlerinin aksine, sunucu bileşenleri sunucuda çalışır ve istemciye aktarılan UI'nin serileştirilmiş bir temsilini üretir. Bu tasarım, tarayıcıya gönderilen JavaScript miktarını azaltır, etkileşim süresini iyileştirir ve veritabanları ve dosya sistemleri gibi sunucu tarafı kaynaklarına doğrudan erişim sağlar.

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

Aşağıdaki gibi tanımlanmış bir Server ele alalım:

İlgili HTTP isteği, her biri bir anahtar ve bir değerden oluşan birden fazla form alanı içerir: 0 numaralı alan, "$W1" ve "$K2" gibi referansların bulunduğu argüman dizisini içerirken, 1 ve 2_* numaralı alanlar bu referansların karşılık geldiği verileri içerir. Sunucu, her alanı geldiği sırayla işler ve ara sonuçları “chunk” adı verilen nesnelerde saklar.

Bir chunk, dört temel özelliğe sahip bir thenable nesnesidir: status (çözümleme durumu), value (saklanan veriler), reason (hata bilgileri) ve _response (üst yanıt nesnesine bir geri referans). Sunucu await chunk ile karşılaştığında, chunk'ın .then() yöntemi çağrılır. Chunk'ın durumu INITIALIZED ise, resolve geri çağrısı chunk.value değerini alır. Durum PENDING, BLOCKED veya CYCLIC ise, geri çağrılar daha sonra yürütülmek üzere kuyruğa alınır.

Aşağıda, Next.js'in normal koşullarda gelen bir Server isteğini HTTP katmanından React Flight serileştirme motoruna kadar nasıl işlediği anlatılmaktadır.

Bir Server çağrıldığında, istek handleAction işlevine girer. Bu işlev, meta verileri doğrular, başlıkları ve CSRF belirteçlerini kontrol eder ve isteğin geçerli bir getirme işlemi olduğunu teyit eder. Ardından, çok parçalı form gövdesini ayrıştırmak için busboyStream adlı bir akış oluşturulur. decodeReplyFromBusboy işlevi, olay yayıcılarını bu akışa bağlar ve ham veriler alındıkça React Serverserileştirme kaldırma işleyici işlevlerini tetikler. decodeReplyFromBusboy işlevinin dönüş değeri chunk_0'dır; await operatörü bunu çözümler ve birleştirilmiş değerini çağrılan Server iletir.

getChunk işlevi, belirtilen bir ID'ye karşılık gelen parçayı döndürür. Eğer bu parça henüz mevcut değilse, ya bir ResolvedModelChunk (response._formData'da veri zaten mevcutsa) ya da bir PendingChunk (o ID için henüz veri gelmemişse) oluşturur.

decodeReplyFromBusboy işlevi chunk_0 değerini döndürdüğünde, bu parça hâlâ PENDING durumundadır. await operatörü, chunk_0.then() işlevini çağırır ve resolve ile reject geri çağırma işlevlerini geçici olarak chunk_0.value ve chunk_0.reason değişkenlerinde saklar. Bu geri çağırma işlevleri, referans çözümleme işlemi tamamlandığında wakeChunk işlevi tarafından yeniden etkinleştirilir.

busboyStream, tam bir ham veri alanı aldığında, 'field' olay yayıcısını tetikler, resolveField işlevini çağırır ve deserializasyonu başlatır; bu işlem, ham form verilerini tam olarak oluşturulmuş JavaScript nesnelerine dönüştürür. Aşağıdaki işlevler bu süreci yönetir.

resolveField(yanıt, anahtar, değer)

Anahtar ve değer, response._formData nesnesine eklenir. Ardından işlev, anahtarla eşleşen ID’ye karşılık gelen parçayı alır. Bu parça halihazırda mevcutsa, onu yeniden oluşturmak için resolveModelChunk işlevi çağrılır. Bu ertelenmiş çözümleme, bir değerin ham verileri henüz ulaşmamış alanlara referanslar içerebilmesi nedeniyle gereklidir; bu durumda React Server , bu referansları daha sonra işlemek üzere özel resolve ve reject geri çağırma işlevlerine sahip bir PendingChunk Server .

resolveModelChunk(parça, değer, kimlik)

resolveModelChunk, RESOLVED_MODEL durumuna sahip bir ResolvedModelChunk oluşturur ve ham verileri bu nesneye aktarır. Ardından, initializeModelChunk aracılığıyla parçayı yeniden oluşturur ve wakeChunk işlevini çağırarak kuyrukta bekleyen tüm resolve ve reject geri çağırma işlevlerini tetikler; böylece nesnenin veya referansın çözümlenmesi işlemi tamamlanır.

modeliYükle(parça)

initializeModelChunk, parçanın durumunu CYCLIC olarak değiştirir — bu, referans çözümlemenin devam ettiğini gösterir — ve serileştirmenin tersine çevrilmesini başlatır. JSON.parse işlevini kullanarak chunk.value nesnesinden ham bir JavaScript nesnesi oluşturur, ardından bu nesneyi reviveModel işlevine aktarır.

reviveModel(yanıt, üst nesne, üst anahtar, değer, referans)

reviveModel, ayrıştırılan nesne içindeki her bir bileşeni özyinelemeli olarak işler. Bir dize değeriyle karşılaştığında, bunu işlemek için parseModelString işlevini çağırır.

parseModelString(yanıt, nesne, anahtar, değer, referans)

parseModelString, farklı kodlanmış türleri işlemek için dize önekine göre ayrıştırma yapar. $ ile başlayan referanslar için, parçalar arası referansı çözümlemek üzere getOutlinedModel işlevi çağrılır.

getOutlinedModel(yanıt, referans, üst nesne, anahtar, harita)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

En önemli güvenlik açığı, bu özellik adlarının hiçbir zaman doğrulanmamasıdır. Sunucu, istenen özelliklerin nesnenin kendi özellikleri mi yoksa miras alınan prototip özellikleri mi olduğunu doğrulamaz. Bu nedenle bir saldırgan, prototip zincirini geçmek ve kullanıcı tarafından kontrol edilen girdilerden asla erişilmemesi gereken dahili yöntemlere ulaşmak için özellik yoluna __proto__ ekleyebilir. Örneğin, $1:__proto__:then referansı, Chunk.prototype.then olarak çözümlenir; bu, saldırganın daha sonra kontrol ettiği argümanlarla çağırabileceği bir işlevdir.

Saldırı zinciri, React’ın Flight serileştirme mantığındaki iki farklı kod yolundan yararlanıyor.

İlki, parçaların (chunk) thenable olarak nasıl davranacağını belirleyen Chunk.prototype.then'dir. INITIALIZED durumundaki bir parçaya await uygulandığında, resolve(chunk.value) çağrılır. Eğer chunk.value'nin kendisi bir thenable ise (yani .then() yöntemine sahip bir nesne), await operatörü chunk.value.then()'i özyinelemeli olarak çağırır. Bu özyinelemeli çözümleme, bir saldırganın yürütmeyi rastgele bir işlevine yönlendirebilmesini sağlayan mekanizmadır.

İkincisi ise parseModelString() işlevi içindeki $B (blob) önek işleyicisidir:

$B durumunda, işlev response._formData.get(response._prefix + id) çağrısını gerçekleştirir. Hem _formData.get hem de _prefix, yığın içinde depolanan _response nesnesinin özellikleridir. Saldırgan, prototip zincirini tarayarak bu özellikleri kontrol ederek, bu çağrıyı yeniden yönlendirebilir ve argüman olarak rastgele bir kod kullanarak global Function yapıcı işlevini çalıştırabilir.

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

Bu durumun gerçek hayattaki olası etkisini göstermek amacıyla, araştırma ekibimiz, çeşitli güvenlik araştırma ekiplerinin bağımsız olarak belgelediği analizlerle uyumlu bir kavram kanıtı yükü geliştirdi. Bu güvenlik açığı istismarı iki aşamada gerçekleşir:

1. Aşama - Sahte parçayı oluşturun:

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

Bu noktada 1 numaralı alan henüz alınmadığından, React Server bekleyen referansı işlemek için Server resolve ve reject geri çağırma işlevleri oluşturur.

2. Aşama - Tetikleyici çözüm:

"$@0" değerini içeren (yani 0 numaralı parçaya doğrudan bir referans olan) 1 numaralı alan iletildiğinde, bekleyen parça çözümlenir ve doğrudan sahte parçaya yönlendirilir. Bu durum wakeChunk işlevini tetikler; bu işlev, kuyrukta bekleyen geri çağırmaları işler ve referans çözümleme sırasında prototip zinciri taramasını başlatır. Sahte yığın tamamen çözümlendiğinde, wakeChunk tekrar çağrılır. Sahte yığın için çözümleme geri çağrısı, örtük Node.js çözümleme işlevi olduğundan, yığının .then() yöntemini çağırır ve değerini çözümler; sonuçta Function yapıcı aracılığıyla enjekte edilen kötü amaçlı kodu oluşturur ve yürütür.

Bu istismarın gerçekleştirilmesi için tek bir HTTP isteği yeterlidir:

Araştırmacılarımız, create-next-app komutuyla oluşturulan ve üretim ortamı için derlenen standart bir Next.js uygulamasını kullanarak, varsayılan yapılandırmada herhangi bir değişiklik yapmadan bu güvenlik açığını kontrollü bir laboratuvar ortamında yeniden canlandırdı. Bu canlandırma, yukarıda açıklanan tek istekli istismar yükünün güvenilir bir şekilde uzaktan kod yürütme sağladığını doğruladı.

React ekibi, güvenlik açığının kamuoyuna duyurulduğu gün olan 3 Aralık 2025'te yamalar yayınladı. Düzeltilmiş sürümler React 19.0.1, 19.1.2 ve 19.2.1 olarak kullanıma sunuldu. Yama, getOutlinedModel() ve reviveModel() işlevlerine sıkı özellik doğrulama ekleyerek, Flight yüklerindeki kullanıcı kontrollü referans yollarından miras alınan prototip özelliklerinin (__proto__, constructor ve prototype dahil) çözümlenmesini açıkça engelliyor.

Kuruluşlar aşağıdaki acil önlemleri almalıdır:

1. Uygun olanı seçerek npm install react-server-dom-webpack@latest, react-server-dom-parcel@latest veya react-server-dom-turbopack@latest komutunu çalıştırarak React paketlerini yamalı bir sürüme (19.0.1, 19.1.2 veya 19.2.1) yükseltin.
2. Çerçeve bağımlılıklarını güncelleyin - Next.js, React Router, Waku ve diğer etkilenen çerçeveler ilgili yamaları yayınladı. Sürüm özelinde güncelleme yolları hakkında bilgi almak için React ekibinin duyurusuna bakın.
3. Yalnızca barındırma sağlayıcılarının aldığı önlemlere güvenmeyin – Vercel gibi sağlayıcılar, güvenlik açığının ortaya çıkmasının ardından geçici WAF kuralları uygulamaya koymuş olsa da, bunlar geçici çözümler olup, altta yatan paketlere yama uygulanmasının yerini tutmaz.
4. Next-Action başlıklarını içeren ve gövdelerinde $@ veya __proto__ kalıpları bulunan multipart/form-data formatındaki POST istekleri için sunucu günlüklerini denetleyin ve uygulama günlüklerinde beklenmedik child_process veya execSync çağrılarını izleyin.

MetaDefender™ platformunun özel bir teknolojisi olan OPSWAT , CVE-2025-55182 gibi güvenlik açıklarına karşı savunma sağlamak için gerekli görünürlük ve kontrolü sunar. Bu güvenlik açığı açık kaynaklı npm paketlerinde (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack) bulunduğundan, kuruluşların etkili bir düzeltme işlemi gerçekleştirebilmesi için öncelikle bu bileşenlerin altyapılarının neresinde dağıtıldığını tam olarak belirlemesi gerekir.