Sebuah kerentanan keamanan dengan tingkat keparahan tinggi ditemukan pada framework Next.js dan berpotensi membahayakan aplikasi web self-hosted di berbagai sektor industri. Celah ini memungkinkan pelaku serangan mencuri kredensial cloud, mengambil API key, hingga mengakses panel administrasi internal tanpa terdeteksi.
Temuan tersebut menjadi perhatian serius bagi perusahaan yang mengelola infrastruktur digital sendiri, termasuk layanan e-commerce, fintech, hingga platform berbasis cloud yang banyak digunakan di berbagai negara, termasuk Indonesia.
Celah SSRF pada Server Next.js
Kerentanan yang dilacak dengan kode CVE-2026-44578 berasal dari cara server bawaan Next.js berbasis Node.js menangani permintaan upgrade WebSocket.
Melalui permintaan WebSocket yang dirancang secara khusus, penyerang dapat memanipulasi server agar bertindak sebagai proxy. Teknik ini memungkinkan server meneruskan permintaan berbahaya ke tujuan internal maupun eksternal secara arbitrer.
Karena permintaan dijalankan langsung oleh server, mekanisme tersebut dapat melewati perlindungan firewall eksternal. Dalam kondisi tertentu, penyerang bisa memanfaatkan posisi server yang dipercaya untuk mengakses layanan jaringan internal, dashboard administrasi yang tidak terlindungi, hingga endpoint metadata cloud.
Risiko Pencurian Kredensial Cloud
Endpoint metadata cloud menjadi target bernilai tinggi dalam serangan semacam ini. Layanan tersebut sering menyimpan kredensial IAM sementara, token API, serta berbagai rahasia deployment yang digunakan sistem cloud modern.
Jika berhasil diakses, data tersebut dapat digunakan penyerang untuk memperluas akses ke infrastruktur internal perusahaan. Risiko yang muncul tidak hanya terbatas pada kebocoran data, tetapi juga potensi pengambilalihan layanan dan penyebaran serangan ke jaringan lain.
Dalam lingkungan bisnis digital yang semakin bergantung pada layanan cloud, ancaman seperti ini dinilai sangat serius. Banyak organisasi kini menggunakan Next.js untuk membangun aplikasi web modern karena performa dan fleksibilitasnya.
Hanya Berdampak pada Lingkungan Self-Hosted
Kerentanan SSRF ini secara khusus memengaruhi aplikasi Next.js yang dijalankan secara self-hosted menggunakan server Node.js bawaan.
Sementara itu, aplikasi yang dihosting melalui platform Vercel disebut aman dari eksploitasi ini. Infrastruktur Vercel tidak menggunakan implementasi routing WebSocket yang rentan terhadap serangan tersebut.
Pengelola sistem yang menjalankan infrastruktur sendiri diminta segera memeriksa versi Next.js yang digunakan. Kerentanan ini diketahui memengaruhi dua jalur rilis berbeda dalam ekosistem Next.js.
Patch Keamanan Sudah Dirilis
Tim pemeliharaan Next.js telah merilis pembaruan keamanan yang menambahkan pemeriksaan ketat terhadap proses penanganan upgrade WebSocket.
Dengan pembaruan tersebut, server hanya akan meneruskan permintaan upgrade apabila konfigurasi routing secara eksplisit menandainya sebagai external rewrite yang aman.
Tim Neutkens mengungkapkan advisory keamanan GHSA-c4j6-fc7j-m34r di GitHub dan menyarankan pengembang segera memperbarui sistem ke Next.js versi 15.5.16 atau 16.2.5.
Bagi organisasi yang belum dapat melakukan patching, disarankan menerapkan perlindungan di tingkat jaringan sebagai langkah mitigasi sementara.
Langkah Mitigasi yang Disarankan
Administrator sistem dianjurkan mengonfigurasi reverse proxy atau load balancer untuk memblokir seluruh permintaan upgrade WebSocket apabila aplikasi tidak secara aktif menggunakannya.
Selain itu, tim keamanan juga disarankan membatasi lalu lintas keluar dari origin server, termasuk memblokir akses menuju layanan metadata cloud internal dan jaringan internal lain yang tidak relevan.
Langkah ini penting untuk mencegah penyerang memanfaatkan server sebagai jalur masuk ke infrastruktur internal perusahaan.
Ancaman Siber pada Aplikasi Modern Meningkat
Kasus ini kembali menunjukkan meningkatnya risiko keamanan pada aplikasi web modern berbasis JavaScript dan cloud-native architecture. Framework populer seperti Next.js memang menawarkan kemudahan pengembangan, namun kesalahan implementasi pada level server dapat membuka celah serius.
Di tengah percepatan transformasi digital, perusahaan perlu memastikan proses patch management dan audit keamanan berjalan rutin. Tanpa pembaruan cepat, celah seperti SSRF dapat dimanfaatkan untuk serangan yang berdampak luas terhadap operasional dan data perusahaan.
Dengan tersedianya patch resmi, organisasi yang menggunakan Next.js self-hosted kini didorong untuk segera melakukan pembaruan dan memperkuat kontrol keamanan jaringan guna meminimalkan potensi eksploitasi.
“Incredibly charming gamer. Web guru. TV scholar. Food addict. Avid social media ninja. Pioneer of hardcore music.”
More Stories
Indonesia Percepat Musim Tanam Padi untuk Hadapi Ancaman El Nino
Reformasi PBB dan Peran Indonesia: Dorongan untuk Dampak Nyata di Lapangan
Presiden Prabowo Tegaskan Program Makan Bergizi Gratis Tetap Berlanjut di Tengah Penyesuaian Fiskal