Sebuah kerentanan keamanan kritis telah ditemukan dalam framework populer React, Next.js, yang berpotensi memungkinkan penyerang menguras sumber daya CPU melalui fitur optimasi gambar.
Celah ini, yang teridentifikasi pada 14 Oktober 2024, memengaruhi versi hingga 14.2.6 dan dapat menyebabkan kondisi Denial of Service (DoS).
Kerentanan ini berasal dari fitur optimasi gambar di Next.js, yang dirancang untuk meningkatkan kinerja dengan otomatis melakukan pengubahan ukuran, optimasi, dan penyajian gambar dalam format modern.
Namun, fitur ini mengandung celah yang dapat dieksploitasi untuk menyebabkan konsumsi CPU yang berlebihan, sehingga aplikasi yang terdampak berpotensi menjadi tidak responsif.
Vercel, perusahaan di balik Next.js, dengan cepat menangani masalah ini dengan merilis patch pada versi 14.2.7. Pengguna versi yang terpengaruh sangat disarankan untuk memperbarui ke versi terbaru atau menerapkan solusi yang disarankan guna mengurangi risiko.
Penting untuk dicatat bahwa tidak semua aplikasi Next.js rentan terhadap masalah ini. Aplikasi yang dikonfigurasi dengan pengaturan tertentu di file next.config.js, seperti images.unoptimized yang disetel ke true atau images.loader yang diatur ke nilai non-default, tidak terpengaruh. Selain itu, aplikasi yang di-host di platform Vercel dilindungi dari kerentanan ini.
Bagi mereka yang tidak dapat segera melakukan pembaruan, Vercel telah menyediakan solusi alternatif. Ini termasuk memodifikasi file next.config.js untuk menetapkan nilai pada images.unoptimized, images.loader, atau images.loaderFile.
Masalah keamanan ini menyoroti pentingnya menjaga framework pengembangan web tetap terbaru dan secara rutin meninjau pengaturan konfigurasi.
Ini juga menggarisbawahi tantangan berkelanjutan dalam menyeimbangkan fitur optimasi kinerja dengan langkah-langkah keamanan yang kuat dalam aplikasi web modern.
Penemuan kerentanan ini bertepatan dengan peluncuran Next.js 14.2, yang memperkenalkan beberapa peningkatan dalam pengembangan, produksi, dan kemampuan caching.
Meskipun versi baru membawa peningkatan seperti Turbopack untuk pengembangan lebih cepat dan penanganan error yang lebih baik, pembaruan keamanan ini menekankan pentingnya segera menangani kerentanan.
Seiring dengan terus bergantungnya aplikasi web pada framework seperti Next.js untuk meningkatkan kinerja dan pengalaman pengembang, menjaga kewaspadaan terhadap potensi ancaman keamanan tetap menjadi hal yang utama.
Pengembang dan organisasi yang menggunakan Next.js didorong untuk meninjau implementasi mereka dan menerapkan pembaruan yang diperlukan untuk memastikan keamanan dan stabilitas aplikasi mereka.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
Next.js Image Optimization Vulnerability Let Attackers Exhaust CPU Resources, Cyber Security News.
Baca Juga : OpenAI Konfirmasi Peretas Gunakan ChatGPT untuk Ciptakan Malware Canggih
