IDHACK.CO.ID – Kerentanan denial-of-service (DoS) baru pada React Server Components (RSC), CVE-2025-55184, memungkinkan penyerang mengirim permintaan HTTP khusus yang dapat memicu infinite loop dan membuat proses server hang, sehingga layanan tidak merespons hingga dilakukan restart.
Kerentanan ini ditemukan pada implementasi React Server Components yang digunakan dalam ekosistem React dan Next.js, khususnya pada arsitektur App Router. Celah ini memungkinkan permintaan HTTP tertentu diproses secara tidak normal hingga menyebabkan loop tanpa akhir di sisi server.
Kondisi tersebut dapat membuat proses server berhenti melayani permintaan baru dan mengganggu ketersediaan layanan secara menyeluruh.
“A specifically crafted HTTP request can be sent to any App Router endpoint that, when deserialized, can cause an infinite loop that hangs the server process and prevents future HTTP requests from being served,” kata Josh Story dan Sebastian Markbåge, pada 11 Desember 2025, dalam pembaruan keamanan Next.js.
Kerentanan CVE-2025-55184 memengaruhi beberapa versi React 19 yang menggunakan React Server Components, termasuk paket:
- react-server-dom-webpack
- react-server-dom-turbopack
- react-server-dom-parcel
Aplikasi Next.js yang menggunakan App Router termasuk dalam kelompok yang terdampak jika belum melakukan pembaruan keamanan terbaru.
“The original fix addressing the DoS in CVE-2025-55184 was incomplete,” tulis tim React dalam catatan pembaruan resmi.
Tim React mengonfirmasi bahwa perbaikan awal untuk CVE ini belum sepenuhnya menutup semua skenario serangan, sehingga diperlukan pembaruan lanjutan.
Versi React yang dinyatakan aman adalah:
- 19.0.3
- 19.1.4
- 19.2.3
Langkah yang Disarankan
Pengembang yang menggunakan Next.js dan React Server Components disarankan untuk:
- Memastikan seluruh dependensi React berada pada versi yang sudah ditambal
- Memperbarui Next.js ke rilis yang mencakup perbaikan keamanan
- Memeriksa dependensi turunan (transitive dependencies)
Kasus CVE-2025-55184 menunjukkan bahwa ancaman keamanan tidak selalu berupa pencurian data, tetapi juga gangguan ketersediaan layanan. Pembaruan rutin dan audit dependensi menjadi langkah penting untuk mencegah downtime akibat serangan DoS.
(IRVN/IDH)