https://news.hada.io/topic?id=29283
Tim React dan Vercel secara bersamaan mengungkapkan 12 kerentanan keamanan yang mempengaruhi React Server Components dan Next.js, dengan rekomendasi kuat untuk memperbarui aplikasi segera
Mencakup berbagai vektor serangan seperti Denial of Service (DoS), bypass middleware, SSRF, XSS, cache poisoning, dll, diklasifikasikan sebagai 6 tingkat keparahan High, 4 Moderate, dan 2 Low
Versi patch disediakan untuk React 19.0.6/19.1.7/19.2.6 dan Next.js 15.5.16/16.2.5, dan kerangka kerja server berbasis React juga perlu diperbarui
Beberapa kerentanan tidak dapat diblokir oleh pertahanan tingkat jaringan seperti WAF, sehingga patch pada kode aplikasi itu sendiri sangat penting
Kerentanan tersebar di berbagai area fitur Next.js yang luas, termasuk Server Components, Pages Router, Image Optimization API, dll, sehingga jangkauan dampaknya luas
Paket yang Terkena Dampak dan Versi Patch
Target patch terkait React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — masing-masing perlu diperbarui ke versi 19.0.6, 19.1.7, 19.2.6
Target patch Next.js: 15.5.16 dan 16.2.5
Ketika menggunakan kerangka kerja server berbasis React seperti Vinext, OpenNext, TanStack Start, dll, kerangka kerja tersebut juga perlu diperbarui ke versi terbaru
Kerentanan Tingkat Keparahan High (6 kasus)
CVE-2026-23870 / GHSA-8h8q-6873-q5fj — Denial of Service (DoS) pada React Server Components
GHSA-267c-6grr-h53f — Bypass middleware melalui rute segment-prefetch
GHSA-mg66-mrh9-m8jx — Denial of Service melalui connection exhaustion pada Cache Components
GHSA-492v-c6pp-mqqv — Bypass middleware melalui injeksi parameter rute dinamis
GHSA-c4j6-fc7j-m34r — SSRF (Server-Side Request Forgery) melalui upgrade WebSocket
GHSA-36qx-fr4f-26g5 — Bypass middleware pada Pages Router i18n
Kerentanan Tingkat Keparahan Moderate (4 kasus)
GHSA-ffhc-5mcf-pf4q — XSS melalui CSP nonce
GHSA-gx5p-jg67-6x7h — XSS pada skrip beforeInteractive
GHSA-h64f-5h5j-jqjh — Denial of Service pada Image Optimization API
GHSA-wfc6-r584-vfw7 — Cache poisoning pada respons RSC
Kerentanan Tingkat Keparahan Low (2 kasus)
Kemampuan Blokir WAF
Kerentanan yang dapat diblokir di tingkat jaringan (WAF) terbatas pada beberapa jenis DoS, dan aturan respons React Server Component CVE yang ada juga berlaku untuk kerentanan DoS baru
Banyak kerentanan tingkat High seperti bypass middleware, SSRF, XSS tidak dapat diblokir dengan aman oleh WAF, sehingga patch kode aplikasi adalah satu-satunya cara untuk menangani
Meskipun beberapa item dapat ditangani dengan aturan WAF kustom, ada risiko mengganggu operasi aplikasi saat menerapkan aturan yang dikelola secara global
Dampak menurut Adaptor Kerangka Kerja
Vinext: Arsitekturnya berbeda dari Next.js dasar sehingga tidak rentan terhadap CVE yang diungkapkan
Protokol PPR resume tidak diimplementasikan, endpoint data-route Pages Router tidak diekspos, header internal seperti x-nextjs-data dihapus di batas permintaan
Sebagai pertahanan tambahan, vinext init diubah untuk memerlukan React 19.2.6 atau lebih tinggi
OpenNext: Adaptor itu sendiri tidak langsung rentan, tetapi pengguna harus memperbarui versi Next.js aplikasi mereka secara manual
▶ Sumber artikel: https://news.hada.io/topic?id=29283