Para pakar keamanan siber di seluruh dunia tengah bersiap menghadapi ancaman serius setelah terungkapnya celah keamanan dengan level maksimum pada React Server, sebuah paket open source yang banyak digunakan dalam pengembangan situs web dan layanan berbasis cloud. Kerentanan ini diumumkan pada Rabu dan langsung menarik perhatian karena memungkinkan penyerang mengeksekusi kode berbahaya di server tanpa memerlukan autentikasi. Lebih mengkhawatirkan lagi, kode eksploitasinya sudah beredar secara publik.
React merupakan komponen yang biasa ditanam pada aplikasi web berbasis server untuk mempercepat proses rendering JavaScript dan konten pada perangkat pengguna. Teknologi ini membantu server merender ulang hanya bagian halaman yang berubah saat pengguna melakukan reload, sehingga performa meningkat dan beban komputasi berkurang. Saat ini React digunakan oleh sekitar 6 persen dari seluruh situs web dan hampir 39 persen lingkungan cloud, membuat area terdampak sangat luas.
Kerentanan fatal ini disebut-sebut sebagai “perfect 10” karena memenuhi seluruh indikator risiko tertinggi. Laporan yang dirilis perusahaan keamanan Wiz mengungkap bahwa eksploitasi hanya membutuhkan satu permintaan HTTP dan tingkat keberhasilannya hampir mencapai seratus persen. Lebih parah lagi, banyak framework dan library mengintegrasikan React secara default. Artinya, meskipun sebuah aplikasi tidak menggunakan fitur React secara langsung, lapisan integrasinya tetap bisa memanggil kode yang rentan dan membuka celah bagi serangan.
Beberapa komponen pihak ketiga yang sudah dikonfirmasi terdampak antara lain Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK, Waku, dan Next.js. React pada versi 19.0.1, 19.1.2, dan 19.2.1 juga dipastikan mengandung kode rentan tersebut.
Wiz bersama Aikido melaporkan bahwa celah keamanan ini terletak pada Flight, yaitu protokol dalam React Server Components. Kerentanan tersebut terdaftar sebagai CVE-2025-55182, sementara Next.js juga merilis penanda kerentanannya sendiri dengan kode CVE-2025-66478.
Masalah utama dari celah ini berasal dari proses deserialisasi yang tidak aman. Deserialisasi adalah proses mengubah string, byte stream, atau format terstruktur lain menjadi objek atau struktur data dalam kode program. Jika proses ini tidak divalidasi dengan benar, penyerang dapat mengirim payload yang sengaja dibuat untuk mengambil alih logika eksekusi server dan menjalankan JavaScript berprivilege tinggi di dalamnya. Versi React yang telah diperbarui kini memiliki validasi lebih ketat serta perilaku deserialisasi yang diperkuat.
Dalam penjelasannya, Wiz menyatakan bahwa ketika server menerima payload yang telah dimodifikasi secara khusus, proses validasi internal gagal sehingga data berbahaya dapat mengendalikan jalannya eksekusi. Hasilnya adalah remote code execution tingkat penuh yang dapat dilakukan dari jarak jauh tanpa autentikasi apa pun. Serangan hanya memerlukan satu permintaan HTTP yang diarahkan pada server yang rentan dan dapat mempengaruhi konfigurasi default pada banyak framework populer.
Para administrator sistem dan pengembang perangkat lunak kini didesak untuk segera melakukan pembaruan terhadap React serta semua dependensi yang berkaitan. Pengguna framework dan plugin yang mendukung React Server Components juga dianjurkan untuk memeriksa dokumentasi dan panduan dari masing-masing pengelola paket. Aikido turut merekomendasikan pemindaian kode dan repositori untuk mendeteksi penggunaan React yang mungkin menjadi titik masuk potensi serangan.
Dengan cakupan dampak yang sangat luas dan tingkat kemudahan eksploitasi yang tinggi, celah keamanan ini menjadi salah satu ancaman terbesar yang pernah dihadapi ekosistem React. Para ahli keamanan sepakat bahwa langkah paling penting saat ini adalah melakukan pembaruan secepat mungkin untuk mencegah serangan yang dapat mengambil alih kendali penuh server.