π¨ Ringkasan
- CVE: CVE-2025-66478
- Tingkat keparahan: Critical (CVSS 10.0 / 10.0)
- Dampak: Remote Code Execution (RCE) tanpa autentikasi β memungkinkan penyerang menjalankan kode arbitrer di server lewat permintaan HTTP ter-craft.
- Komponen terdampak: Aplikasi menggunakan Next.js dengan React Server Components (RSC) + App Router.
- Status CVE: Secara resmi CVE-2025-66478 telah ditandai sebagai duplikat dari CVE-2025-55182.
π Latar Belakang & Mekanisme Vulnerabilitas
- Kerentanan ini berasal dari flaw pada protokol βFlightβ di React Server Components β tepatnya di bagian deserialisasi data (payload) dari client ke server.
- Saat server menerima permintaan dengan payload yang telah βdimanipulasiβ (crafted), mekanisme deserialisasi gagal memvalidasi struktur data dengan benar. Akibatnya, data yang dikirim attacker bisa mempengaruhi jalannya eksekusi di server.
- Dalam kondisi default (misalnya aplikasi dibangun dengan
create-next-apptanpa konfigurasi khusus), aplikasi rentan β artinya hampir semua deployment RSC + Next.js bisa menjadi korban tanpa modifikasi kode oleh developer. - Vektor serangan memerlukan satu HTTP request ter-craft ke endpoint RSC Server Function β tanpa perlu autentikasi atau interaksi pengguna.
π¦ Versi Terpengaruh dan Versi yang Telah Diperbaiki
| Framework / Package | Versi Terdampak | Versi Perbaikan (Patched) |
|---|---|---|
| Next.js (App Router + RSC) | 15.x, 16.x, serta 14.3.0-canary.77 dan canary build setelahnya | 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 |
| React (RSC / react-server) | React 19.0, 19.1, 19.2 (via CVE-2025-55182) | React 19.0.1, 19.1.2, 19.2.1 |
β οΈ Perlu dicatat β meskipun CVE-2025-66478 dicatat sebagai duplikat dari CVE-2025-55182, ini tidak mengurangi dampak bagi pengguna Next.js. Next.js hanya menduplikasi eksploitasi upstream React ke lingkungan mereka.
π§ Rekomendasi Mitigasi & Tindakan Segera
- Segera perbarui (upgrade) Next.js ke versi patched sesuai tabel di atas.
- Jika Anda menggunakan build canary (jalur eksperimental), pertimbangkan untuk menurunkan (downgrade) ke versi stable 14.x β hingga patch tersedia.
- Pastikan semua paket RSC / react-server (jika digunakan secara langsung) ikut diperbarui ke versi React 19.x yang telah dipatch. :contentReference
- Lakukan audit terhadap semua aplikasi publik (internet-facing) yang menggunakan Next.js + RSC β karena attack vector tidak memerlukan autentikasi.
- Pantau log dan perilaku server secara cermat β cek apakah terdapat request HTTP mencurigakan ke endpoint RSC atau aktivitas abnormal pasca-deploy patch. Tools seperti sistem deteksi atau monitor runtime direkomendasikan.
β οΈ Mengapa Ini Penting
- Karena banyak aplikasi modern (termasuk aplikasi web skala besar, SaaS, layanan backend) menggunakan Next.js + React, exploit ini dapat membahayakan lingkungan produksi secara luas.
- Kemudahan eksploitasi (cukup satu request HTTP, tanpa autentikasi) menjadikannya ancaman nyata β bukan hanya bagi developer tetapi juga bagi organisasi yang menjalankan layanan publik.
- Karena sifatnya pada level framework / protokol (bukan aplikasi spesifik), banyak aplikasi bisa rentan tanpa disadari β sehingga patching menjadi satu-satunya cara efektif untuk mitigasi.
π Kesimpulan
CVE-2025-66478 β bersama CVE-2025-55182 β adalah vulnerabilitas kritis dalam ekosistem React / Next.js yang memungkinkan remote code execution tanpa autentikasi, hanya dengan mengirimkan HTTP request ter-craft ke server. Bila Anda menjalankan aplikasi Next.js dengan React Server Components + App Router, Anda sangat disarankan untuk segera memperbarui ke versi yang telah diperbaiki. Mengabaikan patch ini dapat berpotensi menyebabkan kompromi server, kebocoran data, ataupun penyalahgunaan infrastruktur.
Artikel ini disusun berdasarkan publikasi resmi dari tim Next.js/React, analisis dari vendor keamanan, serta database CVE per 10 Desember 2025.