CVE-2025-55182

plus petit que 1 minute de lecture

Mis à jour : December 03, 2025

Exécution de code à distance dans React Server Components

Une faille de sécurité, identifiée comme CVE-2025-55182, a été découverte dans les React Server Components (RSC) impactant React versions 19.0, 19.1 et 19.2, ainsi que Next.js versions 15 à 16. Elle permet l’exécution de code à distance (RCE) via une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans le package react-server et le protocole RSC “Flight”, où le serveur ne valide pas correctement les charges utiles malformées, permettant à des données contrôlées par un attaquant d’affecter l’exécution côté serveur.

Points clés :

Nature de la vulnérabilité : Désérialisation non sécurisée de requêtes malveillantes dans le protocole RSC “Flight”.
Conséquence : Permet l’exécution de code à distance (RCE).
Localisation : Package react-server.
Configuration par défaut à risque : Les déploiements standards sont vulnérables.

Vulnérabilités :

CVE : CVE-2025-55182

Recommandations :

Mettre à jour React vers la version 19.2.1.
Mettre à jour Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8).
Les solutions de sécurité comme celles déployées par Cloudflare peuvent aider à bloquer les tentatives d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast