Kerentanan DoS dan kebocoran kode sumber pada React Server Components diungkap

 (react.dev)
4 poin oleh GN⁺ 2025-12-13 | Belum ada komentar. | Bagikan ke WhatsApp
  • Kerentanan penolakan layanan (DoS) dan kebocoran kode sumber baru ditemukan dan diungkap pada React Server Components
  • Kerentanan ini tidak memungkinkan eksekusi kode jarak jauh (RCE), tetapi tetap menimbulkan risiko penghentian server atau kebocoran kode
  • Paket yang terdampak adalah react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack pada versi 19.0.0~19.2.2, dengan versi perbaikan 19.0.3, 19.1.4, 19.2.3
  • Kerentanan DoS (CVE-2025-55184, CVE-2025-67779) dapat memicu loop tak berujung pada server melalui permintaan HTTP berbahaya, sementara kerentanan kebocoran kode sumber (CVE-2025-55183) dapat mengembalikan sebagian kode fungsi server
  • Tim React merekomendasikan upgrade segera dan menjelaskan bahwa pengungkapan tambahan ini adalah bagian normal dari siklus respons keamanan

Ringkasan kerentanan yang baru diungkap

  • Peneliti keamanan menemukan dua kerentanan tambahan saat memverifikasi patch untuk kerentanan kritis yang diumumkan pekan lalu
  • Kerentanan baru ini tidak memungkinkan eksekusi kode jarak jauh (RCE), dan patch React2Shell yang ada tetap efektif
  • Kerentanan yang baru diungkap adalah sebagai berikut
    • Penolakan layanan (DoS) — CVE-2025-55184, CVE-2025-67779 (CVSS 7.5, tingkat keparahan tinggi)
    • Kebocoran kode sumber — CVE-2025-55183 (CVSS 5.3, tingkat keparahan sedang)
  • Tim React merekomendasikan upgrade segera

Ketidaklengkapan patch sebelumnya

  • Patch pada versi 19.0.2, 19.1.3, 19.2.2 yang dirilis pekan lalu tidak lengkap, sehingga perlu diperbarui lagi
  • Perbaikan lengkap tersedia di versi 19.0.3, 19.1.4, 19.2.3
  • Harus mengikuti panduan pembaruan pada posting sebelumnya
  • Detail tambahan akan diungkap setelah distribusi perbaikan selesai

Paket dan versi yang terdampak

  • Kerentanan ini ada pada paket dan versi yang sama dengan CVE-2025-55182
  • Versi yang terdampak: 19.0.0~19.2.2
  • Paket yang terdampak:
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • Versi perbaikan: 19.0.3, 19.1.4, 19.2.3
  • Aplikasi yang tidak menggunakan server atau tidak mendukung React Server Components tidak terdampak

Pola umum pengungkapan kerentanan lanjutan

  • Setelah pengungkapan CVE kritis, kerentanan lanjutan sering ditemukan saat jalur kode terkait dianalisis lebih lanjut
  • Disebutkan contoh kasus ketika CVE tambahan dilaporkan setelah Log4Shell
  • Pengungkapan tambahan semacam ini menunjukkan bahwa respons keamanan berjalan sebagaimana mestinya

Framework dan bundler yang terdampak

  • Framework dan bundler berikut menyertakan atau bergantung pada paket React yang rentan
    • next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk
  • Harus mengikuti panduan pembaruan pada posting sebelumnya

Langkah mitigasi oleh penyedia hosting

  • Bekerja sama dengan beberapa penyedia hosting untuk menerapkan langkah mitigasi sementara
  • Namun, jangan bergantung pada langkah tersebut dan segera lakukan pembaruan

Panduan terkait React Native

  • Pengguna React Native saja tidak memerlukan tindakan tambahan
  • Dalam lingkungan monorepo, hanya paket berikut yang perlu diperbarui
    • react-server-dom-webpack
    • react-server-dom-parcel
    • react-server-dom-turbopack
  • react dan react-dom tidak perlu diperbarui
  • Detail terkait dapat dilihat pada issue GitHub React Native

Keparahan tinggi: penolakan layanan (DoS)

  • CVE-2025-55184, CVE-2025-67779, CVSS 7.5
  • Jika permintaan HTTP berbahaya dikirim ke endpoint fungsi server React, proses deserialisasi dapat memicu loop tak berujung
  • Proses server dapat berhenti dan menggunakan CPU secara berlebihan
  • Meski tidak mengimplementasikan endpoint fungsi server secara langsung, aplikasi yang mendukung React Server Components tetap dapat rentan
  • Patch yang dirilis hari ini menyelesaikan masalah dengan mencegah loop tak berujung
  • Karena perbaikan awal tidak lengkap, dilakukan pelengkapan melalui kerentanan tambahan (CVE-2025-67779)

Keparahan sedang: kebocoran kode sumber

  • CVE-2025-55183, CVSS 5.3
  • Permintaan HTTP berbahaya dapat mengembalikan sebagian kode sumber dari fungsi server
  • Ini terjadi ketika fungsi server secara eksplisit atau implisit mengekspos argumen string
  • Pada contoh kode, rahasia yang di-hardcode seperti kunci koneksi database dapat terekspos
  • Patch menyelesaikan masalah dengan mencegah stringifikasi kode sumber fungsi server
  • Cakupan kebocoran terbatas pada kode internal fungsi server, dan rahasia runtime (process.env.SECRET dan sejenisnya) tidak terdampak
  • Verifikasi perlu dilakukan berdasarkan bundle produksi

Linimasa

  • 3 Desember: Andrew MacPherson melaporkan kebocoran kode ke Vercel dan Meta Bug Bounty
  • 4 Desember: RyotaK melaporkan kerentanan DoS
  • 6 Desember: Tim React mengonfirmasi kedua masalah dan memulai investigasi
  • 7 Desember: Menyusun perbaikan awal dan rencana verifikasi
  • 8 Desember: Memberi tahu penyedia hosting dan proyek open source
  • 10 Desember: Langkah mitigasi diterapkan dan verifikasi patch selesai
  • 11 Desember: Shinsaku Nomura melaporkan DoS tambahan, CVE-2025-55183·55184·67779 diungkap

Pelapor

  • Andrew MacPherson (AndrewMohawk) — melaporkan kebocoran kode sumber
  • RyotaK (GMO Flatt Security Inc) dan Shinsaku Nomura (Bitforest Co., Ltd.) — melaporkan kerentanan penolakan layanan

Bacaan terkait

Belum ada komentar.

Belum ada komentar.