- Dilaporkan adanya kerentanan keamanan di React dan Next.js yang memungkinkan eksekusi kode jarak jauh (RCE)
- Masalah ini terjadi di dalam paket Next.js, dan penyerang dapat memicu eksekusi kode arbitrer melalui input berbahaya
- Vercel mengungkap kerentanan tersebut melalui advisori keamanan GitHub (GHSA-9qr9-h5gf-34mp) dan merilis versi pembaruan
- Pengguna harus meng-upgrade ke versi terbaru untuk memitigasi kerentanan ini
- Kasus ini kembali menyoroti pentingnya pengelolaan keamanan di tingkat framework
Ringkasan kerentanan RCE
- Ditemukan kerentanan yang memungkinkan eksekusi kode jarak jauh di lingkungan Next.js dan React
- Ada risiko penyerang dapat menjalankan kode JavaScript arbitrer di sisi server
- Kerentanan ini muncul dalam proses penanganan kode internal paket Next.js
- Penjelasan rinci tentang fungsi atau modul yang rentan tidak diungkapkan
Dampak dan respons
- Vercel secara resmi mengumumkan masalah ini melalui advisori keamanan GitHub (GHSA-9qr9-h5gf-34mp)
- Advisori tersebut dipublikasikan di bagian pengumuman keamanan repositori Next.js
- Versi yang terdampak tidak disebutkan secara spesifik, tetapi versi pembaruan telah dirilis
- Pengguna disarankan untuk meng-upgrade ke versi stabil terbaru
Advisori keamanan dan tindakan
- Semua proyek yang menggunakan paket Next.js perlu segera memeriksa versinya
- Versi Next.js di
package.json harus dijaga tetap terbaru
- Selain merilis versi yang telah diperbaiki, Vercel tidak menyebutkan langkah mitigasi tambahan
- Detail teknis kerentanan masih belum dipublikasikan, dan hanya informasi terbatas yang diberikan demi alasan keamanan
Pentingnya isu ini
- Kerentanan ini menunjukkan risiko eksekusi kode di lingkungan server-side rendering
- Operator layanan berbasis React dan Next.js harus menerapkan pembaruan keamanan secara berkala
- Kerentanan keamanan di tingkat framework dapat berdampak langsung pada keamanan seluruh aplikasi
Belum ada komentar.