Kamis, 15 Januari 2026 | 5 min read | Andhika R

Analisis Kerentanan Kritis 2026: 10 Celah Keamanan Paling Mematikan yang Mengancam Infrastruktur Global

Tahun 2026 mencatatkan rekor kelam dalam sejarah keamanan siber. Dalam enam bulan pertama saja, lebih dari </span><b>21.500 kerentanan (CVE)</b> telah diungkap, melonjak </span><b>16-18%</b> dibandingkan tahun 2024. Namun, bukan jumlahnya yang paling mengkhawatirkan, melainkan tingkat keparahan dan kecepatan eksploitasinya.</span>

Laporan ini membedah 10 kerentanan "High-Risk" yang paling signifikan. Celah-celah ini tidak hanya bersifat teoritis; mereka telah dieksploitasi secara aktif (</span><i>in-the-wild</span></i>) untuk membobol infrastruktur AI, mencuri data pemerintah, hingga memata-matai jurnalis. Berikut adalah analisis mendalamnya.</span>
<h3>1. Langflow Unauthorized Code Injection (CVE-2025-3248)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 9.8 (Kritis)</span></li>




<li><b>Mekanisme:</b> Celah validasi kode pada API endpoint </span>validate/code</span> memungkinkan injeksi kode Python sewenang-wenang.</span></li>




<li><b>Dampak:</b> Langflow, platform orkestrasi AI populer, menjadi pintu masuk bagi peretas untuk mengambil alih seluruh infrastruktur aplikasi AI. Eksploitasi ini sangat berbahaya karena kode jahat dieksekusi saat proses </span><i>parsing</span></i> (sebelum dijalankan), melewati mekanisme </span><i>sandbox</span></i> tradisional.</span></li>
</ul>
<h3>2. Microsoft SharePoint "ToolShell" (CVE-2025-53770 &amp; 53771)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 9.8 (Kritis)</span></li>




<li><b>Mekanisme:</b> Serangan berantai tiga tahap. Pertama, memalsukan </span><i>header</span></i> HTTP untuk melewati autentikasi. Kedua, menanamkan file </span>.aspx</span> untuk mencuri kunci enkripsi server. Ketiga, menggunakan kunci curian untuk membuat token sesi palsu.</span></li>




<li><b>Dampak:</b> Kontrol penuh atas server SharePoint. Telah dikonfirmasi menyerang lembaga pemerintah dan keuangan untuk pencurian data dan pergerakan lateral.</span></li>
</ul>
<h3>3. Sudo Privilege Escalation (CVE-2025-32463)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 7.8-9.3 (Tinggi)</span></li>




<li><b>Mekanisme:</b> Kondisi </span><i>Race Condition</span></i> pada utilitas </span>sudo</span> saat menggunakan opsi </span>--chroot</span>. Penyerang lokal dengan hak akses rendah dapat memuat pustaka jahat sebelum konfigurasi keamanan dimuat.</span></li>




<li><b>Dampak:</b> Eskalasi hak akses menjadi </span><i>Root</span></i> (administrator tertinggi) di sistem Linux/Unix. Celah ini sangat fatal karena </span>sudo</span> ada di hampir setiap server Linux di dunia.</span></li>
</ul>
<h3>4. Docker Desktop Access Control (CVE-2025-9074)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 7.8-9.3 (Kritis)</span></li>




<li><b>Mekanisme:</b> Docker Desktop mengekspos API mesinnya pada subnet </span>192.168.65.7</span> tanpa autentikasi. Kontainer jahat dapat "kabur" dan mengontrol host Windows/macOS.</span></li>




<li><b>Dampak:</b> Kompromi total pada stasiun kerja pengembang (</span><i>developer workstation</span></i>). Ini adalah mimpi buruk rantai pasok, di mana satu kontainer jahat bisa menginfeksi seluruh jaringan pengembangan perusahaan.</span></li>
</ul>
<b>Baca Juga: </b><a href="https://fourtrezz.co.id/pukulan-telak-bagi-open-ai-hakim-perintahkan-penyerahan-20-juta-log-chat-gpt-dalam-sengketa-hak-cipta/"><b>Pukulan Telak bagi OpenAI: Hakim Perintahkan Penyerahan 20 Juta Log ChatGPT dalam Sengketa Hak Cipta</b></a>
<h3>5. Rantai Eksploitasi WhatsApp &amp; Apple Image I/O (CVE-2025-55177 &amp; 43300)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 10.0 (Kritis - Zero Click)</span></li>




<li><b>Mekanisme:</b> Kombinasi maut. WhatsApp gagal memvalidasi sinkronisasi perangkat, memungkinkan pengiriman gambar berbahaya. Kerentanan pada </span><i>Image I/O</span></i> Apple kemudian memproses gambar tersebut, memicu eksekusi kode saat memori rusak.</span></li>




<li><b>Dampak:</b> Serangan </span><b>Zero-Click</b> (tanpa interaksi pengguna) pada iOS/macOS. Digunakan secara aktif untuk menyusupkan </span><i>spyware</span></i> ke perangkat jurnalis dan aktivis HAM.</span></li>
</ul>
<h3>6. SGLang AI Model Inference RCE (CVE-2025-10164)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 7.3 (Tinggi)</span></li>




<li><b>Mekanisme:</b> Deserialisasi data yang tidak aman pada kerangka kerja SGLang saat memperbarui bobot model (</span><i>model weights</span></i>).</span></li>




<li><b>Dampak:</b> Eksekusi kode jarak jauh pada server GPU mahal yang menjalankan model AI. Berpotensi mencuri kekayaan intelektual (IP) model AI dan data sensitif pelanggan.</span></li>
</ul>
<h3>7. Unitree Robot BLE Vulnerabilities (CVE-2025-35027, et al.)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 7.3-8.2 (Tinggi)</span></li>




<li><b>Mekanisme:</b> Kunci enkripsi statis dan kredensial </span><i>hardcoded</span></i> pada antarmuka Bluetooth robot.</span></li>




<li><b>Dampak:</b> Pengambilalihan kendali robot secara fisik. Dalam skenario robot kawanan (</span><i>swarms</span></i>), satu robot yang diretas dapat menyebarkan infeksi ke robot lain secara "viral", sangat berbahaya jika digunakan di lingkungan kritis atau militer.</span></li>
</ul>
<h3>8. FortiWeb Authentication Bypass (CVE-2025-64446)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 9.8 (Kritis)</span></li>




<li><b>Mekanisme:</b> Manipulasi jalur (</span><i>Path Traversal</span></i>) untuk mengakses antarmuka CGI lawas yang tidak terlindungi, melewati autentikasi modern REST API.</span></li>




<li><b>Dampak:</b> Pembuatan akun admin palsu pada perangkat </span><i>Web Application Firewall</span></i> (WAF). Peretas dapat mematikan pertahanan, mencegat lalu lintas, dan masuk lebih dalam ke jaringan internal.</span></li>
</ul>
<h3>9. Samsung "Quram" Library RCE (CVE-2025-21042)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 8.8 (Tinggi)</span></li>




<li><b>Mekanisme:</b> Kerentanan pada pustaka pemrosesan gambar Quram saat menangani file DNG jahat yang dikirim via WhatsApp.</span></li>




<li><b>Dampak:</b> Digunakan untuk menyebarkan spyware </span><b>LANDFALL</b>. Memungkinkan pengawasan total (kamera, mikrofon, lokasi) pada jutaan perangkat Samsung Galaxy lama yang belum ditambal.</span></li>
</ul>
<h3>10. React Server Components RCE (CVE-2025-55182)</b></h3>
<ul>




<li><b>Skor CVSS:</b> 10.0 (Kritis)</span></li>




<li><b>Mekanisme:</b> Deserialisasi </span><i>payload</span></i> yang tidak aman pada komponen server React, menyebabkan polusi prototipe (</span><i>prototype pollution</span></i>).</span></li>




<li><b>Dampak:</b> Eksekusi kode jarak jauh tanpa autentikasi pada kerangka kerja web modern seperti Next.js. Sangat berbahaya karena hanya butuh satu permintaan HTTP untuk meretas aplikasi web.</span></li>
</ul>
Lanskap ancaman 2026 menegaskan bahwa kita tidak lagi menghadapi "hacker iseng", melainkan operasi sistematis yang menargetkan fondasi infrastruktur digital modern: AI, Cloud, dan Rantai Pasok. Kerentanan pada Langflow dan SGLang menunjukkan bahwa infrastruktur AI adalah target baru yang empuk, sementara celah pada React dan SharePoint mengingatkan bahwa teknologi "mapan" pun tetap memiliki risiko fatal.</span>

Berdasarkan temuan lapangan dari simulasi serangan (</span><i>Red Teaming</span></i>) yang rutin tim Fourtrezz lakukan, pola yang paling sering kami temui adalah keterlambatan </span><i>patching</span></i> pada komponen pihak ketiga. Kerentanan seperti React Server Components sering kali tersembunyi jauh di dalam dependensi aplikasi, luput dari pemindaian standar. Oleh karena itu, di Fourtrezz, kami melihat urgensi bagi perusahaan untuk tidak hanya melakukan pemindaian rutin, tetapi juga menerapkan validasi keamanan mendalam pada arsitektur aplikasi dan API, serta simulasi serangan rantai pasok untuk melihat dampak nyata jika satu komponen gagal.</span>

Lebih jauh, interaksi kami dengan berbagai sektor industri memperlihatkan urgensi untuk memperkuat pertahanan identitas dan akses. Kasus FortiWeb dan SharePoint menunjukkan bahwa jika lapisan autentikasi ditembus, dampaknya adalah bencana total. Melalui layanan konsultasi strategi keamanan, kami membantu organisasi membangun arsitektur </span><i>Zero Trust</span></i> yang tangguh, memastikan bahwa meskipun satu benteng (seperti WAF atau server aplikasi) ditembus, pergerakan lateral penyerang dapat dibatasi dan dideteksi sebelum mencapai data inti.</span>

Tags:
Kerentanan KritisKeamanan SiberInfrastruktur AirAnalisis CVESerangan Zero-Click
Bagikan:
Avatar

Andhika RDigital Marketing at Fourtrezz

Semua Artikel

Artikel Terpopuler

Mengapa Kebijakan Keamanan Siber Harus Mengatur Perilaku Manusia, Bukan Hanya Teknologi

Tags: Keamanan Siber, Perilaku Manusia, Kebijakan IT, Proteksi Data, Kesadaran Siber

Baca Selengkapnya
Paradoks Kepatuhan: Menjahit Kebijakan Keamanan Siber ke dalam Jantung Audit Internal

Tags: Keamanan Siber, Audit Internal, Strategi Kepatuhan, Manajemen Risiko, Penetrasi Testing

Baca Selengkapnya
Evolusi Ancaman di Tengah Akselerasi Digital: Mengapa Kebijakan Keamanan Siber Bukan Produk Statis

Tags: Keamanan Siber, Transformasi Digital, Audit Keamanan, Penetration Testing, Risiko Digital

Baca Selengkapnya

Berlangganan Newsletter FOURTREZZ

Jadilah yang pertama tahu mengenai artikel baru, produk, event, dan promosi.

Fourtrezz Logo

PT. Tiga Pilar Keamanan

Grha Karya Jody - Lantai 3
Jl. Cempaka Baru No.09, Karang Asem, Condongcatur
Depok, Sleman, D.I. Yogyakarta 55283

Hubungi Kami

Partner Pendukung

infinitixyberaditif
© 2026 PT Tiga Pilar Keamanan. All Rights Reserved.
Info Ordal