React Rilis Patch untuk Celah Keamanan di React Server Components

Tim React merilis pembaruan keamanan untuk memperbaiki beberapa celah baru di React Server Components (RSC). Jika dieksploitasi, celah ini dapat menyebabkan denial-of-service (DoS) atau kebocoran kode sumber.

Masalah ini ditemukan oleh komunitas keamanan saat menganalisis perbaikan sebelumnya untuk CVE-2025-55182, sebuah kerentanan kritis dengan skor CVSS 10.0 yang sudah dieksploitasi di dunia nyata.

Daftar Kerentanan yang Diperbaiki

React mengonfirmasi tiga kerentanan berikut:

  • CVE-2025-55184 (CVSS 7.5)
    Celah DoS sebelum autentikasi akibat deserialisasi data HTTP yang tidak aman. Bug ini dapat membuat server masuk ke loop tak berujung dan berhenti merespons.
  • CVE-2025-67779 (CVSS 7.5)
    Perbaikan yang tidak lengkap dari CVE-2025-55184 dengan dampak yang sama.
  • CVE-2025-55183 (CVSS 5.3)
    Celah kebocoran informasi yang dapat menampilkan kode sumber Server Function melalui request HTTP tertentu.

Namun, eksploitasi CVE-2025-55183 hanya mungkin terjadi jika Server Function mengekspos parameter yang dikonversi ke format string.

Versi React yang Terdampak

Kerentanan ini memengaruhi beberapa versi paket berikut:

  • CVE-2025-55184 & CVE-2025-55183
    Versi 19.0.0 hingga 19.2.1
  • CVE-2025-67779
    Versi 19.0.2, 19.1.3, dan 19.2.2

Versi yang Sudah Aman

Pengguna sangat disarankan segera memperbarui ke versi berikut:

  • 19.0.3
  • 19.1.4
  • 19.2.3

Langkah ini penting, terutama karena eksploitasi CVE-2025-55182 sudah terdeteksi aktif.

React menegaskan bahwa penemuan celah lanjutan setelah patch dirilis adalah hal yang umum dalam industri keamanan. Hal ini justru menunjukkan proses respons keamanan yang sehat.

Bagi pengembang, segera lakukan update React untuk menjaga aplikasi tetap aman dan stabil.