Kerentanan Kritis di React Server Components & Next.js — CVE-2025-55182 dan CVE-2025-66478
Para peneliti keamanan pada hari Rabu memperingatkan adanya kerentanan kritis yang ditemukan pada React Server Components (RSC) dan framework Next.js. Celah keamanan ini memungkinkan remote code execution (RCE) tanpa autentikasi, yang berarti penyerang dapat mengeksekusi kode berbahaya dari jarak jauh tanpa harus login.
I
Irfan Nurzaman
Kerentanan ini dilacak dengan identifikasi:
CVE-2025-55182 — berasal dari protokol RSC di open-source React
CVE-2025-66478 — berdampak pada aplikasi Next.js sebagai efek turunan
Keduanya mendapatkan skor tingkat keparahan 10/10, menjadikannya salah satu kerentanan paling berbahaya di dunia web modern.
Penyebab dan Dampak
Masalah ini dipicu oleh proses deserialisasi payload yang tidak aman pada endpoint React Server Functions. Dalam eksperimen yang dilakukan oleh tim peneliti dari Wiz, eksploitasi menunjukkan:
Tingkat keberhasilan hampir 100%
Dapat digunakan untuk mendapatkan full remote code execution
Konfigurasi aplikasi dianggap rentan secara default
Artinya, aplikasi React dan Next.js yang menggunakan Server Components sangat berisiko jika tidak segera diperbarui.
Reaksi dari Komunitas dan Vendor
React dan Vercel telah merilis panduan patching dan pembaruan keamanan yang wajib dilakukan segera untuk mencegah serangan nyata di lapangan.
Benjamin Harris, CEO WatchTowr, menyampaikan kepada Cybersecurity Dive bahwa meskipun detail teknis eksploitasi masih terbatas:
“Eksploitasi di dunia nyata sangat mungkin terjadi dalam waktu dekat begitu penyerang mulai menganalisis patch yang telah dipublikasikan.”
Kerentanan ini pertama kali dilaporkan oleh Lachlan Davidson melalui Meta Bug Bounty Program pada 29 November.
Peneliti Wiz juga mencatat bahwa 40% lingkungan cloud saat ini menjalankan instance React atau Next.js yang rentan, menunjukkan skala ancaman yang sangat luas.
Apa yang Harus Dilakukan Developer Sekarang?
Perbarui React dan Next.js ke versi terbaru yang telah dipatch
Audit penggunaan React Server Components
Tingkatkan observasi dan logging endpoint RSC
Ikuti guidance resmi dari:
React Security Advisory
Vercel Security Update
Kerentanan ini menegaskan bahwa teknologi populer seperti React dan Next.js bukan berarti bebas risiko. Karena eksploitasi sangat mudah dan hampir pasti berhasil, setiap tim engineering—terutama aplikasi produksi—wajib melakukan patch secepat mungkin.
Keamanan bukan hanya tentang menemukan bug, tetapi mengenai kecepatan merespons sebelum penyerang melakukannya.
reactnextjsreact server componentsrscremote code executionrcevercelcve-2025-55182cve-2025-66478cybersecurityvulnerabilitysecurity patchwiz researchmeta bug bountyjavascriptweb application security