CVE-2025-55182 Nedir?

CVE-2025-55182, React Server Components (RSC) altyapısında kullanılan Flight protokolü ile ilgili kritik bir güvenlik açığıdır.
Bu açık, Next.js’in App Router mimarisini kullanan uygulamalarda uzaktan kod çalıştırma (Remote Code Execution – RCE) riskine yol açmaktadır.

Basitçe ifade etmek gerekirse:
Kötü niyetli bir kullanıcı, özel olarak hazırlanmış HTTP istekleri göndererek sunucu tarafında yetkisiz kod çalıştırabilir.

Bu durum, modern Next.js uygulamaları için en kritik güvenlik senaryolarından biri olarak değerlendirilir.

Hangi Next.js Sürümleri Etkileniyor?

Aşağıdaki sürümler doğrudan risk altındadır:

• Next.js 15.x (tüm alt sürümler)

• Next.js 16.x

• Next.js 14.3.0-canary.77 ve sonrası canary sürümleri

• App Router (/app) kullanan projeler

Bu Açık Ne İşe Yarıyor? (Saldırı Senaryosu)

Bu güvenlik açığı sayesinde saldırganlar:

• Sunucu üzerinde rastgele JavaScript kodu çalıştırabilir

• Environment variable’lara (API key, secret, token) erişebilir

• Sunucuya shell erişimi elde edebilir

• Kripto madenciliği veya zararlı script’ler çalıştırabilir

• Cloud servislerine (AWS, GCP vb.) ait kimlik bilgilerini ele geçirebilir

Bu nedenle CVSS skoru 10.0 (Critical) olarak değerlendirilmiştir.

Teknik Olarak Açık Nasıl Çalışıyor?

• React Server Components, istemci–sunucu arasında veri taşımak için Flight protocol kullanır.

• Bu protokolde gelen veriler deserialize edilir.

• CVE-2025-55182, bu deserialization sürecinde yeterli doğrulama yapılmamasından kaynaklanır.

• Saldırgan, özel hazırlanmış bir payload ile sunucuya zararlı veri gönderir.

• Sunucu bu veriyi güvenli olmayan şekilde işler ve kod çalıştırma gerçekleşir.

Özetle:

Güvenli olmayan deserialization = RCE

Bu Açık Nasıl Kapatılır? (Kalıcı Çözüm)

✅ Tek kesin çözüm: Next.js sürüm güncellemesi

Next.js ekibi açığı aşağıdaki sürümlerde kapattı:

Güvenli Sürümler

• Next.js 15.x → 15.0.5 ve üzeri

• Next.js 16.x → 16.0.7

• Canary için:

  • 15.x → 15.6.0-canary.58

  • 16.x → 16.1.0-canary.12

Güncelleme Komutu

veya spesifik sürüm:

Güncelleme Sonrası Yapılması Gerekenler

Sadece güncelleme yapmak yeterli değildir. Aşağıdaki adımlar kritik öneme sahiptir:

1. Tüm environment variable’ları yenileyin

   • API key’ler

   • Secret token’lar

   • DB şifreleri

2. Sunucuyu yeniden deploy edin

3. Log’ları kontrol edin (şüpheli istekler için)

4. Canary sürüm kullanıyorsanız mümkünse stable sürüme geçin

Geçici Önlemler Yeterli mi?

❌ Hayır.

• WAF

• Firewall

• Request filtering

gibi çözümler geçici önlem sağlar ancak açığı kapatmaz.
Kalıcı çözüm mutlaka sürüm güncellemesidir.