Meta, React sunucusundaki kritik bir güvenlik açığını kapatmaya yönelik yamaların eksik olduğunu açıklıyor. Şirket, yöneticilerin, tespit edilen ek güvenlik sorunlarını gidermek için yeni güncellemeleri hemen uygulamasını tavsiye ediyor.
Duyurudan sonra devamını okuyun
Bir blog yazısında React geliştiricileri, daha önce yayınlanmış yamaların savunmasız olduğunu açıklıyor. Vurgulanan bir girişte, “Geçen hafta kritik güvenlik açığına karşı güncellemeleri zaten uyguladıysanız, bunları tekrar güncellemeniz gerekecek” diye yazıyorlar. “19.0.2, 19.1.3 veya 19.2.2 sürümüne güncelleme yaptıysanız bunlar [Patches] eksik ve tekrar güncellemeniz gerekiyor” diye belirtiyorlar.
Daha fazla boşluk bulun
BT güvenliği araştırmacıları, önceki haftanın yamalarını kötüye kullanmaya çalıştıklarında React Server bileşenlerinde üç ek güvenlik açığı keşfettiler. Yeni güvenlik açıkları, kötü amaçlı kodların eklenmesine ve yürütülmesine izin vermiyor; React geliştiricileri, önceki yamaların bu saldırıyı da etkili bir şekilde önlediğini ekliyor. Yeni Hizmet Reddi güvenlik açıkları (CVE-2025-55184, CVE-2025-67779, CVSS) 7.5risk”yüksek“) ve kaynak kodunu açığa çıkarabilecek bir güvenlik açığı (CVE-2025-55183, CVSS) 5.3risk”orta“). Güvenlik açıkları, halihazırda aktif olarak yararlanılan güvenlik açığıyla (CVE-2025-55182, CVSS) aynı paketlerde ve sürümlerde bulunur. 10.0risk”eleştirmen“).
Etkilenenler “19.0.0, 19.0.1, 19.0.2, 19.1.0, 19.1.1, 19.1.2, 19.2.0, 19.2.1 ve 19.2.2 sürümleridir”tepki-sunucu-dom-webpack“, “tepki-sunucu-dom-parsel” VE “tepki-sunucu-dom-turbopack“.Versiyonlarda 19.0.3, 19.1.4 VE 19.2.3 Programcılar güvenlikle ilgili hataları düzeltti.
Google'ın tehdit istihbarat ekibi, “React2Shell” adı verilen CVE-2025-55182 güvenlik açığına yönelik devam eden saldırılara ilişkin geçen hafta sonundan elde edilen bulguları özetledi. Güvenlik açığının Aralık ayının başında keşfedilmesinden kısa bir süre sonra Google, fırsatçı siber suçlardan şüpheli casusluk gruplarına kadar birçok kümede çok sayıda istismar girişimi gözlemledi. Google, Çin'in casusluk girişimlerinden, finansal faaliyetlerinden ve hatta İran'dan gelen saldırılardan bahsediyor. Kırsal kesimde suçlular, Minocat tünel oluşturucularını, Snowlight indiricilerini, Hisonic ve Compood arka kapılarının yanı sıra kripto madencilerini de kurmaya çalıştı. Gözlemlerden bazıları, siber güvenlik firması Huntress'in gözlemleriyle ve daha önce gözlemlenen diğer güvenlik açığı saldırılarıyla örtüşüyor.
(Bilmiyorum)
Bir yanıt yazın