Oleh: Oki Dwi Yulianto
GitHub dan tim keamanan Vercel baru saja merilis peringatan keamanan kritis dengan kode GHSA-9qr9-h5gf-34mp (CVE-2025-66478). Celah keamanan ini dikategorikan sebagai Remote Code Execution (RCE) yang berdampak serius pada framework Next.js, khususnya bagi aplikasi yang menggunakan fitur App Router. Mengingat popularitas Next.js dalam pengembangan web modern, penemuan ini menuntut perhatian segera dari para pengembang dan tim DevOps untuk mencegah potensi eksploitasi yang dapat mengambil alih sistem server secara penuh.
Masalah utama dari kerentanan ini terletak pada protokol "React Flight" yang menangani serialisasi data. Penyerang jarak jauh (remote attacker) yang tidak terautentikasi dapat mengirimkan permintaan HTTP yang dirancang khusus untuk memanipulasi pemrosesan data tersebut. Jika aplikasi Anda menggunakan Next.js versi 15.x atau 16.x dengan App Router, server Anda berisiko mengeksekusi kode berbahaya yang disisipkan oleh penyerang. Karena tidak diperlukannya interaksi pengguna atau hak akses khusus untuk mengeksploitasi celah ini, tingkat risikonya dianggap "Kritis". Ini bukan sekadar bug tampilan, melainkan pintu terbuka bagi peretas untuk masuk ke infrastruktur backend Anda.
Untuk mengatasi masalah ini, tindakan yang harus diambil sangat jelas dan mendesak: lakukan pembaruan (patch) sekarang juga. Tim Next.js telah merilis versi perbaikan. Anda perlu memperbarui paket next ke versi aman berikut sesuai dengan major version yang Anda gunakan:
- Next.js 16: Update ke 16.0.7 atau lebih baru.
- Next.js 15: Update ke versi patch terbaru seperti 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, atau 15.0.5. Jika Anda menggunakan versi eksperimental (Canary), pastikan untuk beralih ke versi stabil yang telah ditambal. Jalankan perintah npm audit untuk memverifikasi kerentanan dan npm install next@latest (atau versi spesifik yang aman) untuk segera menutup celah ini.