react2shell: react 19 ve next.js'te rce açığı

react 19’da kritik rce açığı keşfedildi, adı react2shell. cve-2025-55182.

lachlan davidson bulmuş, 29 kasım’da react ekibine bildirmiş, bugün (3 aralık) açıklandı. açıklanmasından saatler sonra çin merkezli gruplar sömürmeye başlamış bile.

sorun react server components’in “flight” protokolünde. güvensiz deserialization var. yani varsayılan konfigürasyonda bile kimlik doğrulaması olmadan uzaktan kod çalıştırabiliyorsun.

next.js kullanan herkes risk altında. react 18 ve öncesi etkilenmiyor ama 19 kullananlar acilen güncellemeli.

wiz research, amazon threat intelligence, datadog hepsi doğruladı. halka açık exploit kodları var zaten.

ne yapmalı

# versiyon kontrolü
cat package.json | grep react
npx next --version

# güncelleme
npm update react react-dom next

hemen güncelleyemeyenler için:

• server components’i kapat
• waf kuralı ekle
• gelen istekleri logla, izle

büyük ihtimalle ekibinizde next.js kullanan biri vardır, onlara haber verin.

kaynaklar:

• https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
• https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
• https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/