React：Peretas menyisipkan perangkat pencuri cryptocurrency ke situs web melalui pustaka JavaScript, telah merilis perbaikan

Berita Techub, menurut laporan Cointelegraph, organisasi non-profit keamanan siber Security Alliance (SEAL) mengungkapkan bahwa tren serangan yang menyusupkan program pencurian cryptocurrency melalui celah pada perpustakaan JavaScript frontend open-source React meningkat baru-baru ini. React digunakan terutama untuk membangun antarmuka pengguna, dan secara luas diterapkan dalam bidang aplikasi web. Tim React mengungkapkan pada 3 Desember bahwa hacker putih topi Lachlan Davidson menemukan celah keamanan dalam perangkat lunak tersebut yang memungkinkan eksekusi kode jarak jauh tanpa otentikasi, sehingga penyerang dapat menyisipkan dan menjalankan kode berbahaya. SEAL menunjukkan bahwa pelaku jahat memanfaatkan celah tersebut (nomor CVE-2025-55182) untuk menyusupkan kode pengosongan dompet secara diam-diam ke situs web cryptocurrency.

React telah merilis perbaikan untuk celah CVE-2025-55182 pada 3 Desember dan menyarankan semua pengguna yang menggunakan react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack untuk segera memperbarui guna menutup celah tersebut. Tim menambahkan, “Jika kode React dalam aplikasi tidak menggunakan komponen sisi server, maka tidak terpengaruh oleh celah ini; jika aplikasi tidak menggunakan kerangka kerja, alat pengemasan, atau plugin pengemasan yang mendukung komponen sisi server React, maka juga tidak terpengaruh oleh celah ini.”