Reaksi dan Next.js memiliki beberapa kerentanan keamanan yang dipublikasikan, segera rekomendasikan pembaruan.

211.131.***.***
10

https://news.hada.io/topic?id=29283

  • Tim React dan Vercel secara bersamaan mengungkapkan 12 kerentanan keamanan yang mempengaruhi React Server Components dan Next.js, dengan rekomendasi kuat untuk memperbarui aplikasi segera

  • Mencakup berbagai vektor serangan seperti Denial of Service (DoS), bypass middleware, SSRF, XSS, cache poisoning, dll, diklasifikasikan sebagai 6 tingkat keparahan High, 4 Moderate, dan 2 Low

  • Versi patch disediakan untuk React 19.0.6/19.1.7/19.2.6 dan Next.js 15.5.16/16.2.5, dan kerangka kerja server berbasis React juga perlu diperbarui

  • Beberapa kerentanan tidak dapat diblokir oleh pertahanan tingkat jaringan seperti WAF, sehingga patch pada kode aplikasi itu sendiri sangat penting

  • Kerentanan tersebar di berbagai area fitur Next.js yang luas, termasuk Server Components, Pages Router, Image Optimization API, dll, sehingga jangkauan dampaknya luas


Paket yang Terkena Dampak dan Versi Patch

  • Target patch terkait React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — masing-masing perlu diperbarui ke versi 19.0.6, 19.1.7, 19.2.6

  • Target patch Next.js: 15.5.16 dan 16.2.5

  • Ketika menggunakan kerangka kerja server berbasis React seperti Vinext, OpenNext, TanStack Start, dll, kerangka kerja tersebut juga perlu diperbarui ke versi terbaru

Kerentanan Tingkat Keparahan High (6 kasus)

  • CVE-2026-23870 / GHSA-8h8q-6873-q5fj — Denial of Service (DoS) pada React Server Components

    • Kerentanan yang mempengaruhi React dan Next.js

  • GHSA-267c-6grr-h53fBypass middleware melalui rute segment-prefetch

  • GHSA-mg66-mrh9-m8jxDenial of Service melalui connection exhaustion pada Cache Components

  • GHSA-492v-c6pp-mqqv — Bypass middleware melalui injeksi parameter rute dinamis

    • Tidak dapat diblokir dengan aman oleh aturan WAF, dapat mengganggu operasi aplikasi

  • GHSA-c4j6-fc7j-m34rSSRF (Server-Side Request Forgery) melalui upgrade WebSocket

    • Tidak dapat diblokir dengan aman oleh aturan WAF

  • GHSA-36qx-fr4f-26g5Bypass middleware pada Pages Router i18n

Kerentanan Tingkat Keparahan Moderate (4 kasus)

  • GHSA-ffhc-5mcf-pf4qXSS melalui CSP nonce

  • GHSA-gx5p-jg67-6x7h — XSS pada skrip beforeInteractive

  • GHSA-h64f-5h5j-jqjhDenial of Service pada Image Optimization API

  • GHSA-wfc6-r584-vfw7Cache poisoning pada respons RSC

Kerentanan Tingkat Keparahan Low (2 kasus)

  • GHSA-vfv6-92ff-j949 — Cache poisoning melalui konflik cache busting RSC

  • GHSA-3g8h-86w9-wvmqCache poisoning pengalihan middleware

Kemampuan Blokir WAF

  • Kerentanan yang dapat diblokir di tingkat jaringan (WAF) terbatas pada beberapa jenis DoS, dan aturan respons React Server Component CVE yang ada juga berlaku untuk kerentanan DoS baru

  • Banyak kerentanan tingkat High seperti bypass middleware, SSRF, XSS tidak dapat diblokir dengan aman oleh WAF, sehingga patch kode aplikasi adalah satu-satunya cara untuk menangani

  • Meskipun beberapa item dapat ditangani dengan aturan WAF kustom, ada risiko mengganggu operasi aplikasi saat menerapkan aturan yang dikelola secara global

Dampak menurut Adaptor Kerangka Kerja

  • Vinext: Arsitekturnya berbeda dari Next.js dasar sehingga tidak rentan terhadap CVE yang diungkapkan

    • Protokol PPR resume tidak diimplementasikan, endpoint data-route Pages Router tidak diekspos, header internal seperti x-nextjs-data dihapus di batas permintaan

    • Sebagai pertahanan tambahan, vinext init diubah untuk memerlukan React 19.2.6 atau lebih tinggi

  • OpenNext: Adaptor itu sendiri tidak langsung rentan, tetapi pengguna harus memperbarui versi Next.js aplikasi mereka secara manual

    • Versi baru dengan penguatan adaptor tambahan telah dirilis

▶ Sumber artikel: https://news.hada.io/topic?id=29283

로그인한 회원만 댓글 등록이 가능합니다.

자유게시판

KR | ID | EN
  • IDR
  • KOR
8.35 -0.01

2026.07.10 KEB 하나은행 고시회차 908회

다가오는 한인 행사일정

  • 등록 된 일정이 없어요!