Peringatan Ancaman

Framework Next.js dilaporkan terkena celah kritis yang memungkinkan penyerang mengambil alih eksekusi server lewat mekanisme React Server Components (RSC). Kerentanan ini dinilai maksimal dengan skor CVSS 10.0 karena dapat membuka jalan langsung menuju remote code execution (RCE) jika tidak segera ditambal.​

Apa masalah utamanya

Celah pertama, CVE-2025-55182, berasal dari protokol React Server Components di sisi server yang tidak cukup memblokir input berbahaya. Akibatnya, request yang sudah direkayasa dapat mengubah alur logika eksekusi di server dan memaksa aplikasi masuk ke jalur eksekusi yang berbahaya, hingga berujung pada eksekusi kode jarak jauh di environment yang belum dipatch.​

Celah kedua, CVE-2025-66478, “menurunkan” masalah ini ke level Next.js. Validasi lemah di protokol RSC merembet ke lapisan Next.js App Router, sehingga aplikasi Next.js yang memakai App Router + React Server Components menjadi jauh lebih mudah dieksploitasi. Dengan request tertentu, penyerang bisa mengendalikan perilaku server dan berpotensi menjalankan perintah yang tidak diinginkan.​

Versi yang terdampak dan yang aman

Kerentanan ini terutama mempengaruhi:

• Next.js 15.x

• Next.js 16.x

• Rangkaian 14.3.0-canary.77 dan canary build setelahnya yang sudah mengadopsi jalur kode RSC baru.​

Versi stable lama (yang belum memakai jalur RSC yang rentan) dan aplikasi yang masih memakai Pages Router dilaporkan tidak terdampak oleh bug ini. Risiko terbesar ada pada proyek modern yang sudah migrasi penuh ke App Router dan RSC untuk fitur server-side interaktif.​

Vendor merekomendasikan upgrade ke rilis yang sudah ditambal, antara lain:

• Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, dan 16.0.7 (serta patch setara di branch terkait).​

Dampak bagi pengembang dan organisasi

Bagi tim yang menjalankan Next.js di server-side (SSR) dengan App Router, celah ini pada dasarnya membuka pintu:

• Pengambilalihan eksekusi di layer server aplikasi (RCE).

• Akses ke secrets, environment variables, dan resource backend lain yang diakses aplikasi.

• Potensi pivot ke layanan internal lain jika server Next.js berada di jaringan internal yang lebih luas.

Karena RSC memproses input dari klien untuk merender konten server-side, kelemahan validasi di sini memberikan jalur langsung dari HTTP request ke logika eksekusi server.

Rekomendasi cepat untuk Dev & DevOps

Untuk mengurangi risiko di lingkungan Next.js modern:

• Segera update ke versi Next.js yang direkomendasikan (15.0.5 / 15.1.9 / 15.2.6 / 15.3.6 / 15.4.8 / 15.5.7 / 16.0.7 atau di atasnya) pada semua environment, termasuk staging dan production.

• Pastikan proses build/deploy (CI/CD) hanya menggunakan image atau dependency yang sudah dipatch dan hentikan pemakaian canary build yang terdampak di production.

• Jika memungkinkan, batasi sementara exposure endpoint publik yang sangat sensitif, misalnya dengan WAF, rate limiting, atau akses di balik VPN sampai seluruh cluster ter-update.

• Lakukan review log untuk mendeteksi request abnormal yang mengarah ke jalur RSC dan audit ulang konfigurasi secrets/env di server Next.js.

Referensi

• SecurityOnline.info – “Maximum-Severity Alert: Critical RCE Flaw Hits Next.js (CVE-2025-66478, CVSS 10.0)” (rangkuman teknis dan daftar versi yang harus di‑update).