Pakar keamanan baru-baru ini mengungkap kerentanan kritikal di React Server Components yang diberi kode CVE-2025-55182, juga dikenal sebagai React2Shell. Masalah ini memungkinkan pelaku berbahaya menjalankan kode berbahaya secara jarak jauh tanpa perlu autentikasi, menjadikannya salah satu celah keamanan paling serius di ekosistem pengembangan web saat ini.
React adalah perpustakaan JavaScript populer dari Meta yang digunakan oleh jutaan aplikasi web dan situs besar, termasuk banyak aplikasi berbasis Next.js. Kerentanan ini terdapat pada paket yang menangani React Server Components di sejumlah versi React 19.x dan juga berdampak pada framework yang mengintegrasikannya.
Masalah muncul dari cara React mendekode payload yang masuk ke Server Function endpoints. Jika dikirim permintaan HTTP khusus yang dibuat secara jahat, server bisa mengeksekusi kode yang dikirim penyerang, membuka peluang bagi peretas untuk mengendalikan server, mencuri data, atau menjalankan malware.
Skor kerentanan ini mencapai 10.0 pada skala CVSS, menandakan tingkat bahaya maksimum, dan organisasi keamanan memperkirakan eksploitasi akan cepat menyebar. Menurut data analis, hampir 39% lingkungan cloud dapat terpengaruh jika menggunakan versi React atau Next.js yang rentan.
Sebagai respons, tim React telah merilis versi yang telah diperbaiki (seperti 19.0.1, 19.1.2, dan 19.2.1) serta memperbarui Next.js dan bundler terkait guna menutup celah tersebut. Para pengembang aplikasi web disarankan segera memperbarui dependensi mereka, memindai basis kode untuk komponen rentan, serta menerapkan aturan firewall atau pemantauan tambahan untuk mencegah penyalahgunaan saat patch diterapkan.
Kerentanan semacam ini menjadi pengingat pentingnya kesiapsiagaan keamanan siber dalam ekosistem teknologi modern, terutama bagi organisasi yang mengandalkan aplikasi berbasis React untuk layanan publik dan bisnis digital.
Versi yang terkena kerentanan:
Next.js (15.0.5+, 15.1.9+, 15.2.6+, 15.3.6+, 15.4.8+, 15.5.7+, atau 16.0.7+)
React (19.0.1+, 19.1.2+, atau 19.2.1+)
Rekomendasi:
React adalah perpustakaan JavaScript populer dari Meta yang digunakan oleh jutaan aplikasi web dan situs besar, termasuk banyak aplikasi berbasis Next.js. Kerentanan ini terdapat pada paket yang menangani React Server Components di sejumlah versi React 19.x dan juga berdampak pada framework yang mengintegrasikannya.
Masalah muncul dari cara React mendekode payload yang masuk ke Server Function endpoints. Jika dikirim permintaan HTTP khusus yang dibuat secara jahat, server bisa mengeksekusi kode yang dikirim penyerang, membuka peluang bagi peretas untuk mengendalikan server, mencuri data, atau menjalankan malware.
Skor kerentanan ini mencapai 10.0 pada skala CVSS, menandakan tingkat bahaya maksimum, dan organisasi keamanan memperkirakan eksploitasi akan cepat menyebar. Menurut data analis, hampir 39% lingkungan cloud dapat terpengaruh jika menggunakan versi React atau Next.js yang rentan.
Sebagai respons, tim React telah merilis versi yang telah diperbaiki (seperti 19.0.1, 19.1.2, dan 19.2.1) serta memperbarui Next.js dan bundler terkait guna menutup celah tersebut. Para pengembang aplikasi web disarankan segera memperbarui dependensi mereka, memindai basis kode untuk komponen rentan, serta menerapkan aturan firewall atau pemantauan tambahan untuk mencegah penyalahgunaan saat patch diterapkan.
Kerentanan semacam ini menjadi pengingat pentingnya kesiapsiagaan keamanan siber dalam ekosistem teknologi modern, terutama bagi organisasi yang mengandalkan aplikasi berbasis React untuk layanan publik dan bisnis digital.
Versi yang terkena kerentanan:
Next.js (15.0.5+, 15.1.9+, 15.2.6+, 15.3.6+, 15.4.8+, 15.5.7+, atau 16.0.7+)
React (19.0.1+, 19.1.2+, atau 19.2.1+)
Rekomendasi:
Jika tidak dapat segera melakukan patch, nonaktifkan Server Functions jika memungkinkan, dan terapkan aturan WAF.
Organisasi yang menggunakan React.js 19.x atau Next.js 15.x/16.x sebaiknya segera melakukan pembaruan (patch).
Sumber:
React2Shell (CVE-2025-55182): Everything You Need to Know About the Critical React Vulnerability
Critical React Server Components Vulnerability CVE-2025-55182: What Security Teams Need to Know
Sumber:
React2Shell (CVE-2025-55182): Everything You Need to Know About the Critical React Vulnerability
Critical React Server Components Vulnerability CVE-2025-55182: What Security Teams Need to Know