- Cacat React yang kritis (CVE-2025-55182) mengaktifkan RCE pra-auth di Komponen Server React
- Mempengaruhi versi 19.0–19.2.0 dan kerangka kerja seperti Next, React Router, Vite; patch dirilis pada 19.0.1, 19.1.2, 19.2.1
- Para ahli memperingatkan eksploitasi akan segera terjadi dan tingkat keberhasilannya hampir 100%; peningkatan mendesak sangat disarankan
React adalah salah satu yang paling populer perpustakaan JavaScriptyang menggerakkan sebagian besar internet saat ini. Para peneliti baru-baru ini menemukan kerentanan dengan tingkat keparahan maksimum. Bug ini bahkan memungkinkan pelaku ancaman berketerampilan rendah untuk mengeksekusi kode berbahaya (RCE) pada contoh yang rentan.
Awal pekan ini, tim React menerbitkan penasihat keamanan baru yang merinci bug pra-otentikasi di beberapa versi dari beberapa paket, yang memengaruhi Komponen Server React. Versi yang terpengaruh termasuk 19.0, 19.1.0, 19.1.1, dan 19.2.0, dari react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack.
Bug tersebut sekarang dilacak sebagai CVE-2025-55182, dan diberi skor tingkat keparahan 10/10 (kritis).
Eksploitasi akan segera terjadi – tidak diragukan lagi
Konfigurasi default dari beberapa framework dan bundler React juga terpengaruh oleh bug ini, termasuk next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, dan rwsdk.
Versi yang telah mengatasi bug ini adalah 19.0.1, 19.1.2, dan 19.2.1, dan React mendesak semua pengguna untuk menerapkan perbaikan sesegera mungkin. “Kami merekomendasikan untuk segera melakukan upgrade,” kata tim React.
Menurut DaftarReact mendukung hampir dua dari lima lingkungan cloud, sehingga permukaan serangannya besar, secara halus. Facebook, Instagram, Netflix, Airbnb, Shopify, dan raksasa web masa kini lainnya, semuanya bergantung pada React – serta jutaan pengembang lainnya.
Benjamin Harris, pendiri dan CEO vendor alat manajemen eksposur watchTowr, mengatakan kepada publikasi tersebut bahwa kelemahan tersebut “tidak diragukan lagi” akan dieksploitasi secara liar. Faktanya, pelecehan “akan segera terjadi” menurutnya, terutama sekarang setelah nasihat tersebut diterbitkan.
Wiz berhasil menguji bug tersebut dan mengatakan bahwa “eksploitasi kerentanan ini memiliki ketelitian yang tinggi, dengan tingkat keberhasilan hampir 100% dan dapat dimanfaatkan untuk mengeksekusi kode jarak jauh secara penuh”.
Dengan kata lain, sekarang bukanlah waktunya untuk bermalas-malasan – memperbaiki kekurangan ini harus menjadi prioritas nomor satu setiap orang.
Melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
