Sebuah kerentanan keamanan kritis telah ditemukan pada React Server Components (RSC), yang berpotensi memungkinkan penyerang mendapatkan akses ke server melalui teknik remote code execution (RCE). Kerentanan ini, yang diberi nama React2Shell dan terdaftar sebagai CVE-2025-55182, membawa skor CVSS sempurna: 10.0.
Masalah ini muncul akibat cara React menangani payload dalam protokol React Flight, khususnya pada proses deserialisasi. Payload berbahaya dapat dimasukkan ke dalam permintaan HTTP tanpa perlu autentikasi, memungkinkan eksekusi JavaScript arbitrer ketika server memprosesnya.
Versi React yang terdampak termasuk 19.0 hingga 19.2.0, khususnya pada paket:
-
react-server-dom-webpack
-
react-server-dom-parcel
-
react-server-dom-turbopack
Kerentanan ini juga merembet ke framework besar seperti Next.js, terutama yang menggunakan App Router. Patch telah dirilis oleh React Foundation dan integrasi patch telah tersedia pada versi terbaru Next.js.
Layanan cloud seperti Cloudflare, AWS, Fastly, dan Google Cloud telah menambahkan aturan WAF untuk mencegah eksploitasi, namun pembaruan tetap menjadi langkah utama.
Dengan lebih dari 968.000 server terdeteksi menjalankan framework yang berpotensi rentan, para pakar mendesak seluruh developer untuk segera melakukan pembaruan dan memantau aplikasi mereka.
sumber : hackernews
