Bahaya! Celah Keamanan 'Sempurna' (CVSS 10.0) Ditemukan di Next.js, Jutaan Web Terancam

KETIK, SURABAYA – Peringatan keras bagi para pengembang web (web developer) yang menggunakan kerangka kerja Next.js. Sebuah celah keamanan kritis dengan tingkat keparahan maksimal (skor CVSS 10.0) baru saja diungkap pada Rabu (3/12/2025).

Celah keamanan yang diberi kode CVE-2025-66478 ini ditemukan pada protokol React Server Components (RSC) yang digunakan dalam fitur App Router di Next.js.

Berdasarkan rilis resmi di blog Next.js yang ditulis oleh Josh Story dan Sebastian Markbåge, kerentanan ini memungkinkan penyerang melakukan Remote Code Execution (RCE).

Artinya, dalam kondisi tertentu, peretas bisa menyusup dan menjalankan perintah berbahaya di server korban dari jarak jauh tanpa izin. Jika berhasil dieksploitasi, peretas bisa mengambil alih kendali server sepenuhnya, mencuri data, atau melumpuhkan situs web.

Tangkapan layar peringatan keamanan kritis di Email pada Kamis (4/12/2025) dini hari

Masalah ini sebenarnya berakar dari implementasi di hulu (upstream) yaitu React (kode CVE-2025-55182), yang kemudian berdampak pada aplikasi Next.js yang menggunakan App Router. Mengingat popularitas Next.js yang digunakan oleh banyak perusahaan besar dan startup, potensi dampaknya sangat masif.

Solusi: Update Sekarang Juga!

Tim Next.js telah merilis perbaikan (patch) untuk menutup celah mematikan ini. Para pengembang didesak untuk segera melakukan pembaruan ke versi Next.js terbaru yang sudah diamankan.

Jangan tunda. Bagi pengelola situs web berbasis Next.js, menunda pembaruan hitungan jam saja bisa berarti membiarkan pintu rumah Anda terbuka lebar bagi peretas.