Celah REACT2SHELL CVE-2025-55182 Bikin Full Server Takeover Hanya Lewat 1 HTTP Request — Developer React 19 Wajib Baca Ini

Tjakrabirawa Team

Tjakrabirawa Team

June 23, 2026

Celah REACT2SHELL CVE-2025-55182 Bikin Full Server Takeover Hanya Lewat 1 HTTP Request — Developer React 19 Wajib Baca Ini

Bayangkan kamu bangun pagi, buka laptop, dan mendapati seluruh server produksi sudah dikuasai orang lain — database credentials bocor, file terkunci ransomware, dan ada backdoor aktif yang kamu bahkan tidak tahu kapan dipasang. Bukan skenario film. Ini persis yang terjadi pada ribuan developer yang menggunakan React Server Components sejak awal Desember 2025. Kerentanan yang dikenal sebagai REACT2SHELL dengan kode resmi CVE-2025-55182 berstatus kritis dengan skor CVSS 10.0 — nilai tertinggi yang mungkin dicapai oleh sebuah celah keamanan. Di artikel ini, kamu bakal nemuin cara kerja eksploitasi ini secara menyeluruh, siapa yang sudah jadi korban, malware apa yang disebarkan, dan langkah patch darurat yang harus kamu jalankan sekarang juga.

React Server Components Punya Bom Waktu yang Meledak Sejak 3 Desember 2025

Kerentanan pada React Server Components ini bukan sekadar celah biasa. REACT2SHELL adalah bentuk serangan Remote Code Execution yang bisa dilancarkan tanpa autentikasi sama sekali — artinya siapapun di internet bisa langsung menyerang server kamu tanpa perlu login atau punya akun apapun.

Celah ini ditemukan oleh Lachlan Davidson dan pertama kali dilaporkan secara privat ke Meta pada 29 November 2025. Namun begitu kerentanan dipublikasikan pada 3 Desember 2025, eksploitasi liar langsung terjadi hanya dalam hitungan jam. Tidak ada jeda. Tidak ada waktu untuk bernapas. Para peretas sudah siap menunggu.

Yang membuat situasi ini semakin mengkhawatirkan adalah posisi React di ekosistem teknologi global. React digunakan oleh sekitar 40% developer di seluruh dunia, sementara Next.js — salah satu framework yang paling terdampak — digunakan oleh sekitar 18-20% developer. Ini bukan celah yang menyentuh satu aplikasi kecil. Ini ancaman berskala global.

Kenapa Skor CVSS 10.0 Zero-Day React Exploit Ini Bisa Terjadi? Ini Akar Masalahnya

Untuk memahami mengapa celah ini dikategorikan bencana, kamu perlu tahu cara kerjanya. Masalah bersarang pada proses deserialisasi di protokol RSC Flight, yaitu mekanisme pertukaran data antara klien dan server di React Server Components.

Terdapat cacat logika di sana yang membuat data yang dikendalikan penyerang bisa memengaruhi eksekusi di sisi server melalui penelusuran rantai prototipe JavaScript. Rantai eksploitasi RSC Flight deserialization exploit ini berjalan dalam empat tahap: pertama, penyerang membuat payload dengan referensi khusus $1:proto:then; kedua, JavaScript dimanipulasi agar memperlakukan objek penyerang selayaknya sebuah Promise; ketiga, penyerang mengakses konstruktor $1:constructor:constructor untuk mencapai pemanggilan fungsi Function(); dan keempat, kode JavaScript arbitrer berhasil dieksekusi langsung di server korban.

Prototype chain traversal JavaScript attack ini bekerja dengan sempurna karena ia memanfaatkan cara JavaScript sendiri menangani objek — bukan bug implementasi yang mudah ditemukan, melainkan cacat desain yang tersembunyi dalam lapisan serialisasi data.

Hasilnya: penyerang hanya perlu mengirimkan satu permintaan HTTP POST /api/action melalui multipart/form-data untuk mengambil alih server sepenuhnya. Tidak perlu autentikasi. Tidak perlu interaksi korban. Keandalan serangan ini mendekati 100% efektif pada konfigurasi standar.

Sistem Mana Saja yang Rentan Terhadap Next.js 15 16 App Router Vulnerability Ini?

Sebelum panik, pastikan dulu kamu tahu apakah sistemmu masuk dalam daftar yang terdampak. Sistem yang berisiko tinggi adalah yang menggunakan React versi 19.x dengan fitur Server Components aktif, Next.js versi 15.x atau 16.x dengan App Router, serta framework apapun yang memanfaatkan paket react-server-dom-* seperti webpack, parcel, atau turbopack. Bahkan aplikasi yang hanya mengimpor fungsi server tanpa memanggilnya secara eksplisit tetap bisa terkena dampak.

Sebaliknya, kamu relatif aman jika masih menggunakan React versi 18.x ke bawah, menjalankan React murni di sisi klien seperti CRA atau Vite tanpa RSC, atau masih menggunakan Next.js dengan Pages Router. Konfigurasi ini tidak terekspos pada celah react-server-dom webpack exploit yang mendasari serangan ini.

Langkah pertama yang wajib kamu lakukan hari ini: buka file package.json di setiap project dan cari keberadaan paket react-server-dom-*. Jika ditemukan, anggap sistemmu rentan sampai terbukti sebaliknya.

145 Skrip Eksploitasi Muncul dalam 48 Jam, Lalu APT Negara Ikut Bermain

Skala respons para peretas terhadap celah ini benar-benar menggambarkan betapa seriusnya ancaman ini. Dalam kurun 3 hingga 5 Desember 2025 saja, lebih dari 145 PoC exploit bermunculan — banyak di antaranya dirancang khusus untuk menembus Web Application Firewall. Artinya, WAF bypass exploit React Server yang kamu andalkan sebagai perlindungan bisa jadi sudah tidak relevan.

Mulai 5 Desember 2025, pemindaian dan serangan otomatis secara massal sudah berlangsung di seluruh dunia. Lalu, sejak 10 Desember 2025, kelompok yang lebih berbahaya mulai masuk: Earth Lamia dan Jackpot Panda, dua jaringan peretas yang didanai negara dari Tiongkok, mulai memanfaatkan celah ini untuk operasi siber skala besar. Earth Lamia Jackpot Panda APT exploit bukan lagi sekadar ancaman kriminal biasa, ini sudah menjadi instrumen geopolitik.

Dari Cryptominer Monero Sampai WEAXOR Ransomware: Ancaman Pasca-Eksploitasi yang Mengintai

Setelah berhasil masuk, peretas tidak berhenti di situ. Mereka mengerahkan berbagai malware untuk mengeksploitasi akses yang sudah mereka miliki. XMRIG cryptominer adalah payload yang paling umum ditemukan, digunakan untuk menambang Monero dengan menguras performa CPU server. Kamu mungkin tidak langsung sadar bahwa servermu sedang "dipinjam" untuk keuntungan orang lain.

Lebih serius lagi, MINOCAT dan SNOWLIGHT digunakan untuk membangun terowongan komunikasi C2 terenkripsi dan mengunduh payload serangan lanjutan dari jarak jauh. Sementara itu, HISONIC dan COMPOOD bertindak sebagai backdoor yang memberi penyerang akses reverse shell, kemampuan keylogging, dan jalur untuk bergerak lebih dalam ke jaringan internal — apa yang dalam dunia keamanan disebut lateral movement. Deteksi web shell pasca REACT2SHELL menjadi krusial di sini karena mereka bisa tertanam lama sebelum terdeteksi.

Yang paling merusak adalah WEAXOR ransomware, yang mengunci file korban dan menyiapkan infrastruktur Cobalt Strike untuk serangan berlanjut. Selain itu, terpantau juga malware tambahan seperti EtherRAT, PeerBlight, Kaiji, ZinFoq, dan Zndoor. Rotasi kredensial pasca React exploit bukan lagi pilihan — ini kewajiban mutlak jika server kamu sudah terekspos.

Patch Darurat React 19 Next.js Segera: Ini yang Wajib Kamu Lakukan Sekarang

Perbaikan untuk REACT2SHELL sudah tersedia dan tim React sudah merilis patch darurat. Tidak ada alasan untuk menunda. Keamanan React developer wajib update 2025 ini bukan sekadar himbauan, ini kondisi darurat.

Pertama, identifikasi semua sistem yang rentan. Gunakan SCA tool untuk menelusuri seluruh codebase dan cari penggunaan React 19.x serta Next.js 15/16. Periksa setiap package.json untuk paket react-server-dom-*.

Kedua, lakukan patch sekarang juga. Tingkatkan versi ke rilis yang sudah ditambal. Otomatisasi pembaruan ini agar tidak bergantung pada ingatan manusia.

Ketiga — dan ini yang sering diabaikan — rotasi seluruh kredensial. Kamu wajib menganggap semua environment variables, password database, API keys, JWT secrets, dan token OAuth pada server yang rentan sudah bocor. Ganti semuanya sekarang, bukan besok.

Keempat, buru ancaman yang mungkin sudah ada. Cek eksekusi proses tidak wajar dari node, lonjakan lalu lintas keluar, cron jobs baru yang tidak kamu buat, akun pengguna asing, dan keberadaan web shells. Pantau log untuk aktivitas mencurigakan ke endpoint POST /api/action.

Terakhir, setelah semua langkah dijalankan, lakukan pemindaian kerentanan menyeluruh dan verifikasi tidak ada akun admin bayangan yang tertinggal.

Jangan Tunggu Sampai Server Kamu Jadi Korban Berikutnya

REACT2SHELL CVE-2025-55182 adalah pengingat keras bahwa celah dengan skor CVSS 10.0 zero-day React exploit tidak memberi kamu waktu untuk menunggu jadwal maintenance rutin. Dengan lebih dari 145 skrip eksploitasi yang beredar, kelompok APT yang sudah aktif menargetkan sistem ini, dan malware seperti WEAXOR ransomware yang siap mengunci data kamu — setiap jam yang kamu tunda adalah risiko nyata.

Buka terminal kamu sekarang, jalankan audit package.json, dan jadwalkan patch update hari ini juga. Jika butuh panduan lebih lanjut tentang cara mengamankan infrastruktur React kamu atau ingin tahu lebih dalam tentang cara kerja unauthenticated RCE Next.js React ini, bagikan artikel ini ke tim engineering kamu dan mulai diskusi keamanan yang sudah terlalu lama tertunda.

© 2026 Tjakrabirawa Teknologi Indonesia. All Rights Reserved.