Beranda / teknologi

Celah RCE Kritis di Next.js Modern, Server Berisiko Diambil Alih Penuh

Exploitasi Kerentanan CVE-2025-66478 dan CVE-2025-55182 sedang berlangsung massive, terdeteksi ribuan aplikasi lokal terdampak. RSC/Next.js

Framework Next.js dilaporkan mengalami kerentanan keamanan tingkat kritis yang memungkinkan pengambilalihan penuh server (Remote Code Execution/RCE) melalui mekanisme React Server Components (RSC). Celah ini memiliki skor CVSS maksimal 10.0, menandakan risiko eksploitasi sangat tinggi dan mendesak.

⚠️ Server Next.js yang belum diperbarui berpotensi dikendalikan penyerang hanya melalui request HTTP berbahaya.

Inti Masalah: Jalur Langsung dari Request ke Eksekusi Server

1. CVE-2025-55182 – Celah Fatal di Protokol React Server Components

Kerentanan pertama berasal dari protokol RSC di sisi server yang gagal memvalidasi input berbahaya secara memadai. Penyerang dapat mengirimkan request yang direkayasa untuk:

  • Memanipulasi alur logika eksekusi server

  • Memaksa aplikasi masuk ke jalur eksekusi berbahaya

  • Menjalankan kode arbitrer dari jarak jauh (RCE) pada environment yang belum ditambal

2. CVE-2025-66478 – Eksploitasi Meluas ke Next.js App Router

Masalah ini diperparah ketika kelemahan RSC tersebut merembet langsung ke Next.js App Router. Validasi input yang lemah membuat aplikasi Next.js modern:

  • Sangat mudah dieksploitasi melalui request RSC tertentu

  • Rentan dikendalikan perilaku server-nya

  • Berisiko menjalankan perintah tidak sah di sistem backend

📌 Aplikasi yang menggunakan App Router + React Server Components berada pada risiko tertinggi.

Versi Next.js yang Terdampak (RISIKO TINGGI)

Kerentanan ini secara khusus menyerang Next.js modern, termasuk:

  • Next.js 15.x

  • Next.js 16.x

  • Next.js 14.3.0-canary.77 dan canary build setelahnya yang sudah mengadopsi jalur kode RSC baru

Proyek yang telah bermigrasi penuh ke App Router dan RSC menjadi target utama eksploitasi.

Versi Relatif Aman

  • Versi stable lama yang belum menggunakan jalur RSC rentan

  • Aplikasi yang masih memakai Pages Router

Patch Resmi yang WAJIB Segera Dipasang

Vendor sangat merekomendasikan upgrade segera ke versi berikut:

  • Next.js 15.0.5

  • 15.1.9

  • 15.2.6

  • 15.3.6

  • 15.4.8

  • 15.5.7

  • 16.0.7 (dan patch setara di branch terkait)

Menunda update sama dengan membiarkan pintu server terbuka lebar.

Dampak Nyata bagi Developer & Organisasi

Bagi tim yang menjalankan Next.js SSR dengan App Router, celah ini berpotensi menyebabkan:

  • Remote Code Execution (RCE) di server aplikasi

  • Kebocoran environment variables, secrets, token, dan kredensial

  • Penyalahgunaan akses backend (database, API internal, storage)

  • Pivot attack ke layanan internal lain dalam satu jaringan

Karena RSC memproses input klien langsung di server, kegagalan validasi berarti jalur eksploitasi sangat pendek dan mematikan.

Langkah Darurat untuk Developer & DevOps (WAJIB DILAKUKAN)

🚨 Tindakan cepat untuk meminimalkan risiko:

  1. Segera upgrade seluruh environment (production, staging, CI) ke versi Next.js yang sudah dipatch.

  2. Hentikan penggunaan canary build terdampak di production tanpa pengecualian.

  3. Pastikan pipeline CI/CD hanya memakai dependency dan image yang telah di-patch.

  4. Batasi sementara akses endpoint sensitif, gunakan WAF, rate-limiting, atau akses berbasis VPN.

  5. Audit log server untuk mendeteksi request abnormal yang menargetkan jalur RSC.

  6. Lakukan rotasi dan audit ulang secrets jika ada indikasi eksploitasi.

 Risiko Nyata, Bukan Teoritis

Celah ini bukan sekadar bug biasa, melainkan ancaman kritis yang dapat menyebabkan pengambilalihan server secara penuh.
Setiap aplikasi Next.js modern yang belum diperbarui harus dianggap dalam kondisi tidak aman.

Referensi

SecurityOnline.info —
“Maximum-Severity Alert: Critical RCE Flaw Hits Next.js (CVE-2025-66478, CVSS 10.0)”
(rangkuman teknis dan daftar versi patch resmi)