ardifx01 Profile Photo
Muhammad Nadhif

Next.js Modern Kena Celah RCE Kritis, Server Bisa Diambil Alih via RSC

dhiff
dhiff
Next.js Modern Kena Celah RCE Kritis, Server Bisa Diambil Alih via RSC

Dunia web development kembali diguncang dengan temuan celah keamanan kritis pada ekosistem Next.js modern yang memanfaatkan React Server Components (RSC). Celah ini memungkinkan penyerang melakukan Remote Code Execution (RCE) secara langsung ke server hanya dengan request HTTP tertentu, tanpa perlu login.

Dengan RCE, attacker tidak hanya bisa membaca data, tetapi juga mengeksekusi perintah sistem, mencuri environment variable, menanam malware, hingga mengambil alih full server. Risiko ini sangat tinggi terutama bagi aplikasi enterprise yang mengandalkan App Router dan RSC.

Visualisasi Serangan RSC & Dampaknya

Ini bukan sekadar bug biasa — ini adalah celah yang bisa menjadikan server kamu senjata bagi penyerang.

Apa Itu React Server Components (RSC)?

React Server Components adalah mekanisme rendering komponen React langsung di server tanpa mengirim seluruh logic ke client. Data antar client dan server dikirim melalui protokol khusus bernama React Flight.

Akar Masalah Kerentanan

Celah ini terjadi karena proses deserialisasi payload RSC tidak memvalidasi struktur data secara ketat. Payload yang dimanipulasi bisa memaksa server masuk ke jalur eksekusi berbahaya yang akhirnya mengeksekusi kode arbitrer.

Versi Next.js yang Terdampak

Kerentanan ini berdampak pada Next.js 15.x dan 16.x yang menggunakan React Server Components. Beberapa versi canary Next.js 14 juga teridentifikasi rentan. Aplikasi dengan Pages Router atau versi stabil lama relatif tidak terdampak.

Dampak Nyata Jika Dieksploitasi

Jika berhasil dieksploitasi, attacker dapat menjalankan perintah sistem operasi, membaca file sensitif, mengambil credential database, memodifikasi source code, serta menjadikan server sebagai bagian dari botnet.

Versi Aman & Patch Resmi

Pihak Next.js telah merilis patch keamanan untuk beberapa versi antara lain 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, dan 16.0.7. Upgrade adalah langkah yang wajib dilakukan secepat mungkin.

Rekomendasi Mitigasi Sementara

Jika belum sempat update, segera batasi akses publik ke server menggunakan firewall atau WAF. Aktifkan logging penuh, audit request mencurigakan, dan lakukan rotasi semua credential penting.

Implikasi untuk Developer & DevOps

Kasus ini menjadi peringatan serius bahwa fitur modern seperti server-side rendering dan server components memiliki permukaan serangan yang jauh lebih luas dibanding aplikasi frontend biasa.

Kesimpulan

Celah RCE di React Server Components bukan sekadar bug biasa, melainkan ancaman serius yang bisa menghancurkan seluruh infrastruktur jika diabaikan. Update, audit, dan hardening adalah harga mati.