- Cacat React yang kritis (CVE-2025-55182) memungkinkan pra-otorisasi dalam komponen React Server
- Mempengaruhi versi 19.0–19.2.0 dan kerangka kerja seperti Next, React Router, Vite; Dirilis di patch 19.0.1, 19.1.2, 19.2.1
- Para ahli memperingatkan bahwa eksploitasi akan segera terjadi dengan tingkat keberhasilan 100%; Peningkatan penting sangat disarankan
React adalah salah satu perpustakaan JavaScript paling populer, yang mendukung sebagian besar Internet saat ini. Para peneliti baru-baru ini menemukan kerentanan tingkat keparahan maksimum. Bug ini juga memungkinkan pelaku ancaman berketerampilan rendah untuk mengeksekusi kode berbahaya (RCE) pada contoh yang rentan.
Awal pekan ini, tim React menerbitkan penasihat keamanan baru yang merinci bug pra-otentikasi di beberapa versi dari beberapa paket, yang memengaruhi komponen server React. Versi yang terpengaruh mencakup 19.0, 19.1.0, 19.1.1, dan 19.2.0, react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack.
Bug tersebut sekarang dilacak sebagai CVE-2025-55182, dan telah diberi skor tingkat keparahan 10/10 (kritis).
Eksploitasi akan terjadi – tidak diragukan lagi
Konfigurasi default dari beberapa framework dan bundler React juga terpengaruh oleh bug tersebut, katanya, termasuk next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, dan rwsdk.
Versi yang mengatasi bug ini adalah 19.0.1, 19.1.2, dan 19.2.1, dan React mendesak semua pengguna untuk menerapkan perbaikan sesegera mungkin. “Kami merekomendasikan untuk segera melakukan upgrade,” kata tim React.
Demikian DaftarSekitar dua dari lima lingkungan cloud bersifat reaktif, sehingga permukaan serangannya besar. Facebook, Instagram, Netflix, Airbnb, Shopify, dan raksasa web lainnya saat ini semuanya mengandalkan React — bersama dengan jutaan pengembang lainnya.
Benjamin Harris, pendiri dan CEO vendor alat manajemen eksposur Watchtower, mengatakan kepada publikasi tersebut bahwa kelemahan tersebut “tidak diragukan lagi” akan dieksploitasi secara liar. Faktanya, pelecehan sedang “datang”, dia yakin, terutama sekarang setelah nasihat tersebut dipublikasikan.
Wiz berhasil menguji bug tersebut dan mengatakan bahwa “eksploitasi kerentanan ini memiliki ketelitian yang tinggi, dengan tingkat keberhasilan hampir 100% dan dapat dianggap sebagai eksekusi kode jarak jauh penuh”.
Dengan kata lain, sekarang bukanlah waktunya untuk menunda-nunda—memperbaiki kekurangan ini harus menjadi prioritas utama setiap orang.
melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
