CUMBUR.NET 

Siber Güvenlik · Aralık 13, 2025 0

React ve Next.js’de RCE Depremi (CVE-2025-55182) ve Cloudflare WAF Atlatma Sanatı

Giriş: Modern Web’in Kalbinde Güvenlik Krizi

Modern web geliştirme dünyasının standartlarını belirleyen React ve Next.js ekosistemlerinde, sunucuların kontrolünü tamamen saldırganlara teslim eden kritik bir güvenlik açığı keşfedildi. CVE-2025-55182 (React) ve CVE-2025-66478 (Next.js) kodlarıyla izlenen bu zafiyet, saldırganların kimlik doğrulaması olmadan (Pre-auth) sunucularda uzaktan kod yürütmesine (RCE) olanak tanıyor.

Ancak bu olayı sıradan bir güvenlik uyarısından ayıran çok daha tehlikeli bir detay var: Saldırganlar, Cloudflare gibi gelişmiş WAF (Web Uygulama Güvenlik Duvarı) sistemlerini atlatmak için zekice kurgulanmış “Payload Şişirme” teknikleri kullanıyor.

Bu makalede, zafiyetin teknik detaylarını, WAF atlatma yöntemlerini ve acil çözüm yollarını derinlemesine inceliyor olacağız.

1. BÖLÜM: Zafiyetin Anatomisi (Güvensiz Deserialization)

Sorunun kaynağı, React Server Components (RSC) mimarisinin sunucu ile istemci arasındaki veri alışverişini işleme biçiminde yatmaktadır. React 19.x serisi, “Server Actions” (Sunucu Fonksiyonları) için özel uç noktalar (endpoints) kullanır.

Nasıl Çalışıyor?

Bu uç noktalar, istemciden gelen verileri işlerken (deserialization), gelen verinin güvenilirliğini yeterince doğrulamaz.

  • Saldırı Vektörü: Saldırgan, özel olarak hazırlanmış (crafted) bir veri paketi gönderir.

  • Tetikleme: Sunucu bu veriyi çözdüğünde, içerisindeki zararlı komutları (örn. /bin/sh çalıştırma veya dosya okuma) kendi koduymuş gibi çalıştırır.

  • Sonuç: Kimlik doğrulama gerektirmeden sunucu üzerinde tam yetki.

Etkilenen Sürümler

  • React Paketleri: react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack (Sürümler: 19.0.0 – 19.2.0 arası).

  • Next.js: 14.3.0-canary.77 sonrası, tüm 15.x ve 16.x serilerinin yamasız sürümleri.

2. BÖLÜM: İleri Düzey Saldırı – Cloudflare WAF Nasıl Atlatılıyor?

Standart güvenlik tarayıcılarının (scanners) ve resmi PoC şablonlarının “Temiz” raporu vermesi, güvende olduğunuz anlamına gelmez. Bug Bounty avcıları ve araştırmacılar, bu zafiyeti sömürürken Cloudflare gibi WAF’ların korumasını aşan bir yöntem geliştirdiler.

Sorun: WAF Engellemesi

Standart exploit kodları gönderildiğinde, Cloudflare’in yapay zeka ve imza tabanlı filtreleri saldırıyı tespit edip engelliyor (403 Forbidden).

Çözüm: “Devasa Base64 Yükü” (131KB Trick)

Modern WAF’ların çoğu, performans kaybı yaşamamak için (latency) gelen isteklerin sadece belirli bir boyutunu analiz eder. Saldırganlar bu “inceleme limitini” aşarak WAF’ı kör ediyor.

Bypass Tekniğinin Adımları:

  1. Payload Şişirme (Overflow): Saldırgan, isteğin içerisine işlevsiz ama devasa boyutta (yaklaşık 131KB) rastgele oluşturulmuş bir Base64 bloğu ekler.

  2. Rastgele Alan Adları: İmza tabanlı korumayı (Signature-based detection) atlatmak için hlmvbjtvunst gibi rastgele alan adları kullanılır. WAF, bilinen zararlı parametreleri ararken bu rastgele isimleri görmezden gelir.

  3. WAF’ın Pes Etmesi: İstek boyutu WAF’ın tarama limitini aştığında, WAF performans darboğazı yaratmamak için isteğin geri kalanını (zararlı kodun olduğu kısmı) okumadan sunucuya iletir.

  4. Gizli Çıktı: Komut çalışır ve sonuç (örneğin /etc/passwd içeriği), HTTP yanıt gövdesinde değil, X-Action-Redirect başlığında (header) saldırgana geri döner.

Örnek Saldırı Senaryosu:

// Saldırganın gönderdiği komut:
execSync('cat /etc/passwd | awk -v ORS=- 1')

// Sunucunun döndürdüğü yanıt (Header içinde):
X-Action-Redirect: /login?a=root:x:0:0:root:/root:/bin/sh-...

⚙️ Teknik Özet Tablosu

Kategori Detaylar
Zafiyet Kodları CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
Risk Seviyesi Kritik (Pre-auth RCE)
WAF Bypass Yöntemi 131KB Base64 Bloğu + Rastgele Parametreler
Veri Sızdırma Yolu HTTP Header (X-Action-Redirect)
Güvenli Next.js Sürümleri 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

🛡️ Çözüm ve Savunma Stratejileri

Bu saldırıdan korunmanın tek kesin yolu, zafiyeti kod seviyesinde kapatmaktır. WAF kuralları geçici bir çözüm olabilir ancak yukarıdaki örnekte görüldüğü gibi atlatılması mümkündür.

1. Acil Güncelleme (Patching)

package.json dosyanızı kontrol edin ve Next.js sürümünüzü derhal güncelleyin:

# NPM ile güncelleme komutu
npm install next@latest react@latest react-dom@latest

Güvenli Sürümler:

  • v15.0.5 ve üzeri

  • v15.1.9 ve üzeri

  • v16.0.7 ve üzeri

2. Güvenlik Taramaları İçin İpuçları

Güvenlik ekipleri (Blue Team) ve Bug Bounty avcıları için çıkarımlar:

  • Çift Aşamalı Tarama: Nuclei gibi araçlarda sadece standart şablonları değil, bypass tekniklerini içeren şablonları da kullanın.

  • Log Analizi: Web sunucusu loglarında boyutu anormal derecede büyük (Large Payload) olan POST isteklerini ve X-Action-Redirect başlığında veri taşıyan yanıtları izleyin.

3. Yararlı Kaynaklar ve Araçlar

  • Exploit Analizi: Blackash-CVE-2025-55182 GitHub (https://github.com/Ashwesker/Blackash-CVE-2025-55182)

  • Zafiyet Tarayıcı: CVE-Scanner (https://github.com/fatguru/CVE-2025-55182-scanner)

  • Nuclei Şablonları: PoC Templates (https://github.com/sickwell/CVE-2025-55182)

CUMBUR.NET  sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

Etiketler:

Bu konu da dikkatinizi çekebilir.

Bir Cevap Yazın

CUMBUR.NET  sitesinden daha fazla şey keşfedin

Okumaya devam etmek ve tüm arşive erişim kazanmak için hemen abone olun.

Okumaya Devam Edin