Web geliştirme dünyasının en popüler kütüphaneleri olan React ve Next.js ekosisteminde kritik seviyede bir güvenlik açığı tespit edildi. Next.js ve React arkasındaki geliştirici ekipler, sunucu tarafı bileşenlerini (React Server Components) etkileyen bu hatanın, kötü niyetli kişilerin sunucularda uzaktan kod yürütmesine (RCE) olanak tanıyabileceğini belirterek acil kodlu bir uyarı yayınladı.
CVE-2025-66478 ve CVE-2025-55182 kodlarıyla takip edilen bu zafiyet, saldırganların kimlik doğrulama gerektirmeden sunucu üzerinde kontrol sağlamasına yol açabiliyor. Özellikle Next.js'in App Router mimarisini kullanan projelerin bu açıktan doğrudan etkilendiği ve büyük risk altında olduğu vurgulanıyor. Sorun, React'in sunucu bileşenleri protokolündeki bir hatadan kaynaklanıyor.
Güvenlik uyarısı, özellikle Next.js 15.x, 16.x ve React 19.x sürümlerini kapsıyor. Ayrıca Next.js 14.3.0-canary.77 ve sonrası test sürümlerini (canary) kullanan geliştiricilerin de tehdit altında olduğu bildirildi. Yetkililer, bu sürümleri kullanan tüm projelerin, olası veri ihlallerini önlemek için zaman kaybetmeden yamalanması gerektiğinin altını çiziyor.
Geliştiricilerin güvenli tarafta kalmak için projelerini Next.js 15.0.5, 15.1.9, 15.2.6, 16.0.7 veya daha yeni sürümlere yükseltmeleri gerekiyor. React tarafında ise 19.0.1, 19.1.2 veya 19.2.1 sürümlerine güncelleme yapılması öneriliyor. Bu güncelleme, sistem güvenliğini sağlamak için tek kesin çözüm olarak sunuluyor.
