Celah Keamanan Kritis “React2Shell” pada Ekosistem React dan Next.js Mengancam Ribuan Aplikasi Web
Insiden ini bermula ketika tim keamanan React dan beberapa firma keamanan siber, termasuk Wiz, OX Security, dan Upwind, mengidentifikasi anomali dalam cara protokol React Flight menangani data yang masuk. Protokol ini bertugas mengatur komunikasi antara server dan klien dalam arsitektur React modern. Para peneliti menemukan bahwa mekanisme deserialisasi proses mengubah data yang dikirim jaringan kembali menjadi objek yang dapat dibaca program pada paket react-server-dom-webpack dan varian lainnya tidak memiliki validasi yang cukup ketat.
Celah ini memungkinkan penyerang untuk menyisipkan muatan berbahaya (malicious payload) ke dalam permintaan HTTP POST yang ditujukan ke titik akhir Server Action. Ketika server memproses permintaan yang dimanipulasi tersebut, alih-alih menjalankan fungsi yang sah, server dipaksa untuk mengeksekusi perintah sewenang-wenang yang dikirim oleh peretas. Yang membuat situasi semakin genting adalah fakta bahwa kerentanan ini dapat dipicu bahkan jika aplikasi tersebut tidak secara eksplisit menggunakan React Server Functions, selama aplikasi tersebut mendukung React Server Components secara umum.
Dampak dan Risiko
Dampak dari kerentanan React2Shell dikategorikan sebagai bencana bagi infrastruktur TI. Karena memiliki skor keparahan maksimal (10.0), risiko utamanya adalah pengambilalihan server secara penuh. Penyerang yang berhasil mengeksploitasi celah ini dapat menjalankan perintah apa saja di server korban, mulai dari mencuri data sensitif, kunci API (API keys), hingga kredensial basis data.
Lebih jauh lagi, laporan dari perusahaan keamanan cloud menunjukkan bahwa serangan ini tidak hanya berhenti pada eksekusi perintah sederhana. Penyerang memanfaatkan akses ini untuk menyusup lebih dalam ke lingkungan container dan cloud, menanamkan pintu belakang (backdoor), melakukan penambangan kripto ilegal (cryptomining), serta memanen data rahasia perusahaan secara agresif. Mengingat popularitas Next.js di lingkungan perusahaan besar (enterprise), celah ini membuka jalur langsung bagi peretas untuk mengakses data internal yang seharusnya terisolasi dengan aman.
Tanggapan atau Analisis Para Ahli
Menanggapi temuan ini, Tim React segera mengeluarkan peringatan keamanan mendesak. Badan Keamanan Siber dan Infrastruktur AS (CISA) juga merespons dengan cepat dengan menambahkan CVE-2025-55182 ke dalam katalog Kerentanan yang Dieksploitasi (KEV), yang mewajibkan instansi federal AS untuk segera melakukan perbaikan.
Para ahli dari Aikido dan Upwind menjelaskan bahwa akar masalahnya adalah “deserialisasi logis yang tidak aman”. Fungsi requireModule yang seharusnya hanya memuat modul sah, dapat dimanipulasi untuk memanggil fungsi berbahaya seperti vm.runInThisContext. Analis keamanan menekankan bahwa tidak seperti kerentanan korupsi memori yang terkadang gagal dieksekusi, celah logika seperti ini menjamin eksekusi kode 100% berhasil jika targetnya rentan, menjadikannya senjata yang sangat andal bagi peretas.
Langkah Pemulihan dan Rekomendasi
Langkah mitigasi yang paling utama dan tidak dapat ditawar adalah melakukan pemutakhiran (patching) segera. Pengembang aplikasi yang menggunakan React dan Next.js diwajibkan untuk memperbarui paket react, react-dom, dan next ke versi terbaru yang telah dirilis oleh pengelola kerangka kerja tersebut pada awal Desember 2025. Perusahaan diimbau untuk memindai seluruh repositori kode mereka menggunakan alat Software Composition Analysis (SCA) untuk mendeteksi penggunaan versi pustaka yang rentan.
Selain pembaruan perangkat lunak, tim keamanan disarankan untuk memantau lalu lintas jaringan HTTP secara ketat, khususnya pada permintaan POST yang mencurigakan yang mengarah ke komponen server, serta mengisolasi aplikasi yang rentan dari jaringan internal kritis hingga pembaruan selesai dilakukan.
Insiden React2Shell menjadi pengingat keras bahwa kerentanan pada lapisan aplikasi, terutama pada kerangka kerja populer seperti Next.js, memiliki efek domino yang masif. Kejadian ini menegaskan bahwa keamanan pada mekanisme serialisasi data di sisi server adalah hal yang fundamental. Ke depannya, organisasi harus lebih proaktif dalam manajemen kerentanan rantai pasok perangkat lunak (software supply chain) dan tidak hanya bergantung pada keamanan perimeter, karena satu celah pada pustaka inti (core library) dapat meruntuhkan pertahanan seluruh infrastruktur digital perusahaan.
