Celah keamanan kritis bernama React2Shell teridentifikasi pada ekosistem React dan Next.js, berpotensi mengancam ribuan aplikasi web modern. Kerentanan ini memungkinkan penyerang mengeksekusi perintah sewenang-wenang di server dan dikategorikan memiliki tingkat keparahan maksimal.
IDHACK.CO.ID – Insiden React2Shell bermula dari temuan tim keamanan React bersama sejumlah perusahaan keamanan siber, termasuk Wiz, OX Security, dan Upwind. Mereka mengidentifikasi anomali dalam cara protokol React Flight menangani data masuk, khususnya pada mekanisme komunikasi antara server dan klien dalam arsitektur React modern.
Peneliti menemukan bahwa proses deserialisasi data pada paket react-server-dom-webpack dan variannya tidak memiliki validasi yang cukup ketat. Kondisi tersebut memungkinkan penyerang menyisipkan muatan berbahaya melalui permintaan HTTP POST yang diarahkan ke endpoint Server Action.
Dalam skenario eksploitasi, server yang memproses permintaan tersebut tidak menjalankan fungsi sah, melainkan dipaksa mengeksekusi perintah arbitrer yang dikirim oleh penyerang. Kerentanan ini tetap dapat dipicu meskipun aplikasi tidak secara eksplisit menggunakan React Server Functions, selama aplikasi mendukung React Server Components.
Dampak dan Risiko
React2Shell dikategorikan sebagai kerentanan dengan dampak sangat kritis, dengan skor keparahan maksimum 10.0. Risiko utama dari eksploitasi celah ini adalah pengambilalihan server secara penuh.
Penyerang yang berhasil mengeksploitasi React2Shell berpotensi:
- Menjalankan perintah apa pun di server korban
- Mencuri data sensitif dan kunci API
- Mengakses kredensial basis data
Laporan dari perusahaan keamanan cloud menunjukkan bahwa eksploitasi tidak berhenti pada eksekusi perintah dasar. Akses yang diperoleh digunakan untuk menyusup ke lingkungan container dan cloud, menanam backdoor, melakukan cryptomining ilegal, serta memanen data internal perusahaan. Mengingat tingginya adopsi Next.js di lingkungan enterprise, kerentanan ini membuka jalur langsung ke sistem internal yang seharusnya terisolasi.
Tanggapan Pihak Terkait
Tim React merespons temuan ini dengan mengeluarkan peringatan keamanan mendesak. Di tingkat internasional, Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat juga menindaklanjuti dengan memasukkan CVE-2025-55182 ke dalam Known Exploited Vulnerabilities (KEV) Catalog, yang mewajibkan instansi federal AS untuk segera melakukan perbaikan.
Analisis dari sejumlah peneliti keamanan menyebutkan bahwa akar masalah React2Shell terletak pada deserialisasi logis yang tidak aman. Mekanisme pemanggilan modul yang seharusnya terbatas pada fungsi sah dapat dimanipulasi untuk menjalankan fungsi berbahaya, sehingga menjadikan celah ini sangat andal untuk dieksploitasi jika sistem target rentan.
Langkah Pemulihan dan Rekomendasi
Langkah mitigasi utama yang ditekankan adalah pemutakhiran sistem secara segera. Pengembang aplikasi berbasis React dan Next.js diwajibkan memperbarui paket react, react-dom, dan next ke versi terbaru yang telah dirilis pada awal Desember 2025.
Selain pembaruan, organisasi dianjurkan untuk:
- Melakukan pemindaian repositori kode menggunakan Software Composition Analysis (SCA)
- Memantau lalu lintas HTTP, khususnya permintaan POST ke komponen server
- Mengisolasi aplikasi yang rentan dari jaringan internal kritis hingga proses patching selesai
Insiden React2Shell menegaskan bahwa kerentanan pada lapisan aplikasi dan pustaka inti dapat berdampak luas terhadap infrastruktur digital. Kasus ini menjadi pengingat bahwa keamanan mekanisme serialisasi data di sisi server merupakan aspek fundamental, serta pentingnya pengelolaan risiko software supply chain secara proaktif di lingkungan organisasi.
