React ve Next.js'te çok sayıda güvenlik açığı açıklandı, derhal yama uygulanması öneriliyor

• React ekibi ve Vercel, React Server Components ve Next.js'i etkileyen 12 güvenlik açığını aynı anda duyurarak, uygulamaların derhal güncellenmesini güçlü biçimde tavsiye etti
• Hizmet reddi (DoS), middleware atlatma, SSRF, XSS, cache poisoning gibi çeşitli saldırı vektörleri yer alıyor; bunlar 6 High, 4 Moderate ve 2 Low ciddiyet seviyesinde sınıflandırıldı
• Yama sürümleri olarak React 19.0.6/19.1.7/19.2.6 ve Next.js 15.5.16/16.2.5 sunuldu; React tabanlı sunucu framework'lerinin de birlikte güncellenmesi gerekiyor
• Bazı açıklar WAF gibi ağ seviyesi savunmalarla engellenemediği için, doğrudan uygulama koduna yama uygulanması zorunlu
• Açıklar, Server Components, Pages Router, Image Optimization API gibi Next.js'in geniş özellik alanlarına yayılmış durumda; bu da etki alanını büyütüyor

Etkilenen paketler ve yama sürümleri

• React ile ilgili yamalanması gereken paketler: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — her biri için 19.0.6, 19.1.7, 19.2.6 sürümlerine güncelleme gerekli
• Next.js için yama sürümleri: 15.5.16 ve 16.2.5
• Vinext, OpenNext, TanStack Start gibi React tabanlı sunucu framework'leri kullanılıyorsa, ilgili framework'lerin de en güncel sürüme yükseltilmesi gerekiyor

High ciddiyetindeki açıklar (6 adet)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Components'te hizmet reddi (DoS)
  • Hem React'i hem de Next.js'i etkileyen bir açık
• GHSA-267c-6grr-h53f — segment-prefetch route üzerinden middleware atlatma
• GHSA-mg66-mrh9-m8jx — Cache Components'ta bağlantı tükenmesi (connection exhaustion) yoluyla hizmet reddi
• GHSA-492v-c6pp-mqqv — dinamik route parametre enjeksiyonu yoluyla middleware atlatma
  • WAF kurallarıyla güvenli biçimde engellenemez; uygulama davranışını bozabilir
• GHSA-c4j6-fc7j-m34r — WebSocket upgrade yoluyla SSRF (sunucu tarafı istek sahteciliği)
  • WAF kurallarıyla güvenli biçimde engellenemez
• GHSA-36qx-fr4f-26g5 — Pages Router i18n'de middleware atlatma

Moderate ciddiyetindeki açıklar (4 adet)

• GHSA-ffhc-5mcf-pf4q — CSP nonce üzerinden XSS
• GHSA-gx5p-jg67-6x7h — beforeInteractive script'inde XSS
• GHSA-h64f-5h5j-jqjh — Image Optimization API'de hizmet reddi
• GHSA-wfc6-r584-vfw7 — RSC yanıtlarında cache poisoning

Low ciddiyetindeki açıklar (2 adet)

• GHSA-vfv6-92ff-j949 — RSC cache busting çakışması yoluyla cache poisoning
• GHSA-3g8h-86w9-wvmq — middleware redirect cache poisoning

WAF ile engelleme mümkün mü?

• Ağ seviyesi (WAF) ile engellenebilen açıklar, yalnızca bazı DoS türleriyle sınırlı; mevcut React Server Component CVE önleme kuralları yeni DoS açıkları için de geçerli
• Middleware atlatma, SSRF, XSS gibi birçok High ciddiyetli açık WAF ile güvenli biçimde engellenemediğinden, uygulama koduna yama uygulanması tek çözüm
• Özel WAF kurallarıyla önlem alınabilecek durumlar da var, ancak bunların global managed kurallar olarak uygulanması uygulama davranışını bozma riski taşıyor

Framework adapter'larına göre etki

• Vinext: Mimarisi standart Next.js'ten farklı olduğu için açıklanan CVE'lerden etkilenmiyor
  • PPR resume protocol uygulanmamış, Pages Router data-route endpoint'i dışa açılmamış, x-nextjs-data gibi iç header'lar istek sınırında kaldırılıyor
  • Ek savunma olarak vinext init, artık React 19.2.6 ve üzerini zorunlu kılacak şekilde değiştirildi
• OpenNext: Adapter'ın kendisi doğrudan etkilenmiyor, ancak kullanıcıların uygulamadaki Next.js sürümünü doğrudan güncellemesi gerekiyor
  • Adapter'ı ek olarak güçlendiren yeni sürüm yayımlandı