Sejumlah kerentanan keamanan di React dan Next.js diungkap, patch segera direkomendasikan

 (developers.cloudflare.com)
1 poin oleh GN⁺ 1 jam lalu | Belum ada komentar. | Bagikan ke WhatsApp
  • Tim React dan Vercel secara bersamaan mengungkap 12 kerentanan keamanan yang memengaruhi React Server Components dan Next.js, serta sangat merekomendasikan pembaruan aplikasi segera
  • Berbagai vektor serangan termasuk penolakan layanan (DoS), bypass middleware, SSRF, XSS, cache poisoning, dan lainnya, dengan klasifikasi 6 High, 4 Moderate, dan 2 Low
  • Versi patch yang disediakan adalah React 19.0.6/19.1.7/19.2.6 dan Next.js 15.5.16/16.2.5, dan framework server berbasis React juga perlu diperbarui
  • Beberapa kerentanan tidak dapat diblokir dengan pertahanan tingkat jaringan seperti WAF, sehingga patch pada kode aplikasi itu sendiri wajib dilakukan
  • Kerentanan tersebar di cakupan fitur yang luas pada Next.js seperti Server Components, Pages Router, Image Optimization API, sehingga ruang lingkup dampaknya besar

Paket yang terdampak dan versi patch

  • Target patch terkait React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — masing-masing perlu diperbarui ke versi 19.0.6, 19.1.7, 19.2.6
  • Target patch Next.js: 15.5.16 dan 16.2.5
  • Jika menggunakan framework server berbasis React seperti Vinext, OpenNext, dan TanStack Start, framework tersebut juga perlu diperbarui ke versi terbaru

Kerentanan tingkat High (6)

  • CVE-2026-23870 / GHSA-8h8q-6873-q5fj — penolakan layanan (DoS) pada React Server Components
    • Kerentanan ini memengaruhi baik React maupun Next.js
  • GHSA-267c-6grr-h53f — bypass middleware melalui route segment-prefetch
  • GHSA-mg66-mrh9-m8jx — penolakan layanan melalui connection exhaustion pada Cache Components
  • GHSA-492v-c6pp-mqqv — bypass middleware melalui injeksi parameter route dinamis
    • Tidak dapat diblokir dengan aman menggunakan aturan WAF dan dapat merusak perilaku aplikasi
  • GHSA-c4j6-fc7j-m34r — SSRF (server-side request forgery) melalui upgrade WebSocket
    • Tidak dapat diblokir dengan aman menggunakan aturan WAF
  • GHSA-36qx-fr4f-26g5 — bypass middleware pada Pages Router i18n

Kerentanan tingkat Moderate (4)

  • GHSA-ffhc-5mcf-pf4q — XSS melalui CSP nonce
  • GHSA-gx5p-jg67-6x7h — XSS pada skrip beforeInteractive
  • GHSA-h64f-5h5j-jqjh — penolakan layanan pada Image Optimization API
  • GHSA-wfc6-r584-vfw7 — cache poisoning pada respons RSC

Kerentanan tingkat Low (2)

  • GHSA-vfv6-92ff-j949 — cache poisoning melalui tabrakan cache busting RSC
  • GHSA-3g8h-86w9-wvmq — cache poisoning pada redirect middleware

Apakah bisa diblokir oleh WAF

  • Kerentanan yang dapat diblokir di tingkat jaringan (WAF) hanya terbatas pada sebagian kategori DoS, dan aturan respons untuk CVE React Server Component yang ada juga berlaku untuk kerentanan DoS baru
  • Banyak kerentanan tingkat High seperti bypass middleware, SSRF, dan XSS tidak dapat diblokir dengan aman oleh WAF, sehingga patch kode aplikasi menjadi satu-satunya langkah mitigasi
  • Ada item yang bisa ditangani dengan aturan WAF kustom, tetapi jika diterapkan sebagai aturan managed global, terdapat risiko merusak perilaku aplikasi

Dampak per adapter framework

  • Vinext: karena arsitekturnya berbeda dari Next.js bawaan, tidak rentan terhadap CVE yang diungkap
    • Protokol PPR resume belum diimplementasikan, endpoint data-route Pages Router tidak diekspos, dan header internal seperti x-nextjs-data dihapus pada batas permintaan
    • Sebagai pertahanan tambahan, vinext init diubah agar mensyaratkan React 19.2.6 atau lebih baru
  • OpenNext: adapter itu sendiri tidak rentan secara langsung, tetapi pengguna harus memperbarui versi Next.js aplikasi secara langsung
    • Versi baru yang semakin memperkuat adapter juga telah dirilis

Bacaan terkait

Belum ada komentar.

Belum ada komentar.