Kerentanan Unauthenticated Remote Code Execution (CVE-2025-55182)
“React2Shell” adalah kerentanan Remote Code Execution (RCE) kritis dengan CVSS 10.0 pada React Server Components (RSC) di React 19.x dan framework turunannya seperti Next.js App Router.
Celah ini muncul akibat deserialisasi yang tidak aman pada protokol Flight RSC, yang memungkinkan penyerang tanpa autentikasi mengirim payload berbahaya melalui HTTP sehingga server dapat mengeksekusi kode arbitrer.
Karena PoC sudah tersedia, sangat dianjurkan untuk segera melakukan pembaruan ke React 19.2.1 atau versi framework lain yang telah diperbaiki.
CWE-502 — Deserialization of Untrusted Data
Kelemahan ini terjadi ketika aplikasi melakukan deserialisasi data dari sumber yang tidak terpercaya tanpa pemeriksaan yang memadai. Kondisi ini memungkinkan penyerang menyisipkan data berbahaya yang dapat memicu eksekusi kode atau tindakan tidak sah saat proses deserialisasi berlangsung.
Langkah Mitigasi
“React2Shell” adalah kerentanan Remote Code Execution (RCE) kritis dengan CVSS 10.0 pada React Server Components (RSC) di React 19.x dan framework turunannya seperti Next.js App Router.
Celah ini muncul akibat deserialisasi yang tidak aman pada protokol Flight RSC, yang memungkinkan penyerang tanpa autentikasi mengirim payload berbahaya melalui HTTP sehingga server dapat mengeksekusi kode arbitrer.
Karena PoC sudah tersedia, sangat dianjurkan untuk segera melakukan pembaruan ke React 19.2.1 atau versi framework lain yang telah diperbaiki.
CWE-502 — Deserialization of Untrusted Data
Kelemahan ini terjadi ketika aplikasi melakukan deserialisasi data dari sumber yang tidak terpercaya tanpa pemeriksaan yang memadai. Kondisi ini memungkinkan penyerang menyisipkan data berbahaya yang dapat memicu eksekusi kode atau tindakan tidak sah saat proses deserialisasi berlangsung.
Langkah Mitigasi
- Pengguna dianjurkan segera memasang pembaruan keamanan dengan:
- Meningkatkan React RSC packages ke versi 19.2.1 atau lebih baru
- Memperbarui Next.js App Router ke versi 15.0.5, 15.5.7, atau 16.0.7
Versi tersebut telah menyediakan perbaikan menyeluruh terhadap kerentanan yang memungkinkan eksekusi kode jarak jauh, sehingga dapat mencegah potensi eksploitasi pada server.
CVE-2025-55182 (10.0 : CRITICAL)
Produk Terancam
- react-server-dom-webpack
- react-server-dom-turbopack
- react-server-dom-webpack-client
- React Server Components versi 19.0.0, 19.1.1, 19.1.1, dan 19.2.0
- Next.js App Router versi 15.x dan 16.x
Referensi Lanjutan, Solusi, dan Alat
- GitHub PoC: ejpiri / CVE-2025-55182-poc
- SAP Security Patch Day
- Commit perbaikan React (facebook/react)
- Artikel analisis di hackmd.io oleh Harsh Vardhan Sharma
Sumber Penulisan
- Blog resmi React: Critical Security Vulnerability in React Server Components
- NVD NIST: CVE-2025-55182