React ve Next.js'te çok sayıda güvenlik açığı açıklandı, derhal yama uygulanması öneriliyor

 (developers.cloudflare.com)
1 puan yazan GN⁺ 2 시간 전 | Henüz yorum yok. | WhatsApp'ta paylaş
  • React ekibi ve Vercel, React Server Components ve Next.js'i etkileyen 12 güvenlik açığını aynı anda duyurarak, uygulamaların derhal güncellenmesini güçlü biçimde tavsiye etti
  • Hizmet reddi (DoS), middleware atlatma, SSRF, XSS, cache poisoning gibi çeşitli saldırı vektörleri yer alıyor; bunlar 6 High, 4 Moderate ve 2 Low ciddiyet seviyesinde sınıflandırıldı
  • Yama sürümleri olarak React 19.0.6/19.1.7/19.2.6 ve Next.js 15.5.16/16.2.5 sunuldu; React tabanlı sunucu framework'lerinin de birlikte güncellenmesi gerekiyor
  • Bazı açıklar WAF gibi ağ seviyesi savunmalarla engellenemediği için, doğrudan uygulama koduna yama uygulanması zorunlu
  • Açıklar, Server Components, Pages Router, Image Optimization API gibi Next.js'in geniş özellik alanlarına yayılmış durumda; bu da etki alanını büyütüyor

Etkilenen paketler ve yama sürümleri

  • React ile ilgili yamalanması gereken paketler: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — her biri için 19.0.6, 19.1.7, 19.2.6 sürümlerine güncelleme gerekli
  • Next.js için yama sürümleri: 15.5.16 ve 16.2.5
  • Vinext, OpenNext, TanStack Start gibi React tabanlı sunucu framework'leri kullanılıyorsa, ilgili framework'lerin de en güncel sürüme yükseltilmesi gerekiyor

High ciddiyetindeki açıklar (6 adet)

  • CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Components'te hizmet reddi (DoS)
    • Hem React'i hem de Next.js'i etkileyen bir açık
  • GHSA-267c-6grr-h53fsegment-prefetch route üzerinden middleware atlatma
  • GHSA-mg66-mrh9-m8jxCache Components'ta bağlantı tükenmesi (connection exhaustion) yoluyla hizmet reddi
  • GHSA-492v-c6pp-mqqv — dinamik route parametre enjeksiyonu yoluyla middleware atlatma
    • WAF kurallarıyla güvenli biçimde engellenemez; uygulama davranışını bozabilir
  • GHSA-c4j6-fc7j-m34rWebSocket upgrade yoluyla SSRF (sunucu tarafı istek sahteciliği)
    • WAF kurallarıyla güvenli biçimde engellenemez
  • GHSA-36qx-fr4f-26g5Pages Router i18n'de middleware atlatma

Moderate ciddiyetindeki açıklar (4 adet)

  • GHSA-ffhc-5mcf-pf4qCSP nonce üzerinden XSS
  • GHSA-gx5p-jg67-6x7hbeforeInteractive script'inde XSS
  • GHSA-h64f-5h5j-jqjhImage Optimization API'de hizmet reddi
  • GHSA-wfc6-r584-vfw7RSC yanıtlarında cache poisoning

Low ciddiyetindeki açıklar (2 adet)

  • GHSA-vfv6-92ff-j949 — RSC cache busting çakışması yoluyla cache poisoning
  • GHSA-3g8h-86w9-wvmqmiddleware redirect cache poisoning

WAF ile engelleme mümkün mü?

  • Ağ seviyesi (WAF) ile engellenebilen açıklar, yalnızca bazı DoS türleriyle sınırlı; mevcut React Server Component CVE önleme kuralları yeni DoS açıkları için de geçerli
  • Middleware atlatma, SSRF, XSS gibi birçok High ciddiyetli açık WAF ile güvenli biçimde engellenemediğinden, uygulama koduna yama uygulanması tek çözüm
  • Özel WAF kurallarıyla önlem alınabilecek durumlar da var, ancak bunların global managed kurallar olarak uygulanması uygulama davranışını bozma riski taşıyor

Framework adapter'larına göre etki

  • Vinext: Mimarisi standart Next.js'ten farklı olduğu için açıklanan CVE'lerden etkilenmiyor
    • PPR resume protocol uygulanmamış, Pages Router data-route endpoint'i dışa açılmamış, x-nextjs-data gibi iç header'lar istek sınırında kaldırılıyor
    • Ek savunma olarak vinext init, artık React 19.2.6 ve üzerini zorunlu kılacak şekilde değiştirildi
  • OpenNext: Adapter'ın kendisi doğrudan etkilenmiyor, ancak kullanıcıların uygulamadaki Next.js sürümünü doğrudan güncellemesi gerekiyor
    • Adapter'ı ek olarak güçlendiren yeni sürüm yayımlandı

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.