Kerentanan CVE-2025-55182 Berpotensi Remote Code Execution

Bandung, 19 Desember 2025 — Ditemukan kerentanan tingkat Critical pada React Server Components yang tercatat dengan CVE-2025-55182, yang berdampak pada React versi 19 serta berbagai framework yang menggunakan React, termasuk Next.js (perihal CVE-2025-66478). Kerentanan ini memungkinkan penyerang mengeksekusi kode secara jarak jauh (Remote Code Execution/RCE) melalui permintaan (request) yang dibuat secara khusus pada kondisi tertentu.

Dampak Kerentanan

Aplikasi yang menggunakan React Server Components pada versi terdampak berpotensi memproses input tidak tepercaya secara tidak aman. Kondisi ini dapat dimanfaatkan oleh pihak tidak bertanggung jawab untuk melakukan Remote Code Execution, yang berisiko tinggi terhadap keamanan sistem, data, dan layanan publik.

Kerentanan ini ditemukan pada versi berikut:

• react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0)

Berbagai versi tersebut digunakan oleh sejumlah framework dan bundler, antara lain:

• Next.js versi ? 14.3.0-canary.77, ? 15, dan ? 16
• Framework lain yang bergantung pada React Server Components seperti Vite, Parcel, React Router, RedwoodSDK, dan Waku

Langkah Mitigasi dan Penanganan

Sebagai respons cepat, penyedia layanan Vercel telah menerapkan aturan mitigasi baru pada Vercel Web Application Firewall (WAF) untuk melindungi seluruh proyek yang di-host pada platform tersebut tanpa biaya tambahan. Meski demikian, penggunaan WAF tidak disarankan sebagai satu-satunya langkah perlindungan.

Pengembang dan pengelola sistem sangat disarankan segera melakukan pembaruan (upgrade) ke versi yang telah diperbaiki (patched version).

Selain itu, tim React bersama tim keamanan Meta telah berkoordinasi dengan berbagai penyedia WAF dan CDN utama untuk mendistribusikan rekomendasi keamanan terkait kerentanan ini.

Versi yang Telah Diperbaiki

Kerentanan ini telah diperbaiki pada versi berikut:

• React: 19.0.1, 19.1.2, 19.2.1
• Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58, 16.0.7

Pengguna Next.js 14.3.0-canary.77 atau versi canary yang lebih baru disarankan untuk menurunkan versi ke stabil terbaru Next.js 14.x.

Framework dan bundler lain yang menggunakan paket terdampak diimbau untuk memasang versi terbaru yang telah disediakan oleh masing-masing pengelola.

Apresiasi dan Referensi

Kerentanan ini pertama kali diidentifikasi dan dilaporkan secara bertanggung jawab oleh Lachlan Davidson. Apresiasi juga diberikan kepada Meta Security Team dan React Team atas kolaborasi dalam penanganan kerentanan ini.

Referensi resmi:

• GitHub Security Advisory (GHSA) Next.js

>GitHub Security Advisory (GHSA) React