# Awas! Kerentanan Kritis "Remote Code Execution" di React Server Components (Desember 2025)

Baru-baru ini, ekosistem React dikejutkan oleh penemuan celah keamanan **kritis** (Skor CVSS: 10.0/10.0) yang memungkinkan penyerang mengambil alih server tanpa perlu login (autentikasi). Kerentanan ini ditemukan pada fitur **React Server Components (RSC)**.

### Apa yang Terjadi?

Pada tanggal 3 Desember 2025, tim React mengumumkan adanya celah keamanan **Unauthenticated Remote Code Execution (RCE)**. Celah ini memungkinkan peretas untuk mengirimkan kode jahat (script) melalui *request* ke server, yang kemudian akan dieksekusi otomatis oleh server React saat mencoba memproses (decode) data tersebut.

Seperti yang dijelaskan dalam pembahasan, masalah intinya ada pada mekanisme **decode payload** di sisi server. Ketika klien mengirim pesan atau memanggil *server function*, server akan menerjemahkan pesan tersebut. Karena kurangnya validasi yang ketat pada proses deserialisasi ini, penyerang bisa menyisipkan perintah berbahaya—seperti mengunduh database, memasang *backdoor*, atau menghapus data.

### Siapa yang Terdampak?

Kerentanan ini **HANYA** berdampak pada aplikasi yang menggunakan arsitektur **React Server Components**.

Paket yang terdampak secara spesifik adalah versi **19.0.0** hingga **19.2.0** dari:

* `react-server-dom-webpack`
    
* `react-server-dom-parcel`
    
* `react-server-dom-turbopack`
    

Framework populer seperti **Next.js** (App Router) sangat rentan terhadap masalah ini jika belum diupdate.

### Solusi (Wajib Update Sekarang!)

Tidak ada cara lain, Anda **wajib melakukan update segera** (Hotfix). Tim React telah merilis perbaikan pada versi:

* **19.0.1**
    
* **19.1.2**
    
* **19.2.1**
    

Jangan menunda perbaikan ini karena eksploitasi di dunia nyata sudah mulai terjadi dan risikonya sangat fatal bagi server Anda.

---

### Apakah Pengaruh Jika Menggunakan Vite React?

Jawabannya terbagi dua, tergantung bagaimana Anda menggunakan Vite:

1. **TIDAK BERPENGARUH (Aman)** jika Anda menggunakan Vite untuk membuat **Single Page Application (SPA)** standar.
    
    * Kebanyakan proyek Vite React standar (yang di-generate dengan `npm create vite@latest`) hanya merender React di sisi klien (browser).
        
    * Karena aplikasi jenis ini tidak menjalankan *React Server Components* di server (tidak ada proses *decode* payload RSC di server Anda), maka aplikasi Anda **AMAN** dari celah keamanan spesifik ini.
        
2. **BERPENGARUH (Bahaya)** jika Anda menggunakan plugin eksperimental untuk RSC.
    
    * Jika proyek Vite Anda menggunakan plugin seperti `@vitejs/plugin-rsc` atau framework berbasis Vite yang mengimplementasikan RSC (seperti Waku atau Hydrogen), maka Anda **TERDAMPAK**.
        
    * Anda harus segera mengupdate plugin `@vitejs/plugin-rsc` ke versi terbaru yang sudah menambal celah keamanan pada *dependency* `react-server-dom-*` di dalamnya.
        

**Kesimpulan untuk pengguna Vite:** Jika Anda hanya membuat website frontend biasa tanpa fitur eksperimental "Server Components", Anda bisa tenang. Namun, selalu pastikan dependensi proyek Anda tetap diperbarui.

Video pembahasan lengkap mengenai kerentanan ini dapat dilihat di bawah:

%[https://www.youtube.com/watch?v=G-UygClL2tY] 

Video ini relevan karena memberikan penjelasan mendalam dan demonstrasi kontekstual mengenai bahaya *Remote Code Execution* pada React Server Components yang menjadi topik utama pertanyaan Anda.
