Profile Picture About Author - yogaardiana
PenulisYogaardiana
Publikasi

Next.js Vulnerability - Kerentanan RSC CVE-2025-55182 / CVE-2025-66478 - Apa yang Perlu Kamu Lakukan Sekarang

Baru-baru ini ditemukan kerentanan kritis pada protokol React Server Components (dikenal sebagai React2Shell, CVE-2025-55182) yang bernilai CVSS 10.0. Karena Next.js menggunakan implementasi RSC pada App Router, ada dampak downstream yang dilacak sebagai CVE-2025-66478 untuk aplikasi Next.js. Kerentanan ini memungkinkan request yang dibuat penyerang untuk memicu jalur eksekusi server yang tidak diinginkan — berpotensi Remote Code Execution (RCE) pada lingkungan yang belum dipatch.


Siapa yang terpengaruh?

Aplikasi Next.js yang menggunakan App Router dan React Server Components pada versi Next.js 15.x dan 16.x (serta beberapa canary 14.3.0-canary.77+). Halaman router lama (Pages Router), Edge Runtime, serta banyak rilis stabil Next.js 13.x/14.x yang tidak memakai RSC tidak terpengaruh dalam kondisi normal. Namun, jika aplikasi kamu mengaktifkan atau mengandalkan RSC, anggaplah berisiko sampai sudah dipatch.


Bukti serangan & bahaya nyata

Kerentanan ini sudah mendapat perhatian luas - selain advisori resmi, beberapa laporan dari tim keamanan menunjukkan bukti eksploitasi dan pemindaian aktif di alam liar. Tim-tim keamanan industri juga mengeluarkan analisis teknis yang menegaskan potensi RCE dan perlunya patch segera. Intinya: anggap serius dan segera tindaklanjuti.


Versi Next.js yang sudah diperbaiki

Next.js telah merilis build yang memuat perbaikan, upgrade ke salah satu versi patched berikut sesuai dengan lini rilismu:

  1. 15.0.5
  2. 15.1.9
  3. 15.2.6
  4. 15.3.6
  5. 15.4.8
  6. 15.5.7
  7. 16.0.7


Untuk canary releases:

  1. 15.6.0-canary.58 (15.x canary)
  2. 16.1.0-canary.12 (16.x canary)


Jika kamu memakai 14.3.0-canary.77 atau canary 14 yang lebih baru, anjuran resmi adalah downgrade ke rilis stable 14.x (npm install next@14) atau pindah ke lini 15/16 yang sudah dipatch.


Langkah perbaikan

  1. Cek versi Next.js di package.json dan lockfile (package-lock.json / pnpm-lock.yaml / yarn.lock).
  2. Jalankan tool resmi otomatis yang disediakan komunitas/Next.js untuk memperbaiki dependensi:
npx fix-react2shell-next
  1. Atau upgrade manual sesuai lini rilismu mis.:
npm install next@15.3.6 # contoh, ganti sesuai versi target yang patched
npm install


Upgrade adalah keharusan

Menurut advisori resmi, tidak ada workaround yang dapat menjamin keamanan penuh; meng-upgrade ke versi patched adalah satu-satunya solusi. Gunakan npx fix-react2shell-next untuk tindakan cepat bila memungkinkan.


Kenapa ini berbahaya?

React Server Components menggunakan mekanisme untuk mengirim “instruksi” rendering dari server ke client. Celah ini memungkinkan penyerang memasukkan data yang, saat diproses, membuat server menjalankan kode yang tidak seharusnya dijalankan. Bayangkan orang asing mengirim perintah yang keliru lalu server mengeksekusinya — itu inti risikonya: pelaku bisa mengambil alih server.


Sumber :

  1. (Next.js) - Security Advisory: CVE-2025-66478
  2. (React) - Critical Security Vulnerability in React Server Components
  3. (NPM) - fix-react2shell-next