CVE-2025-55182

Vulnérabilité dans React Server Components : Exécution de code à distance

Une faille de sécurité, identifiée sous la référence CVE-2025-55182, a été découverte dans React Server Components (RSC). Elle impacte les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Le problème réside dans une désérialisation non sécurisée de requêtes malveillantes, ouvrant la porte à une exécution de code à distance (RCE).

La vulnérabilité se situe dans le package react-server et sa gestion du protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des paquets altérés, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.

Points clés :

• Nature de la vulnérabilité : Désérialisation non sécurisée.
• Impact : Exécution de code à distance (RCE).
• Composants affectés : React Server Components (RSC) via le package react-server.
• Protocole impliqué : Protocole “Flight” des RSC.

Vulnérabilités :

• CVE-2025-55182 : Désérialisation non sécurisée de paquets malformés dans le protocole “Flight” des RSC, permettant l’exécution de code à distance.

Recommandations :

• Mise à jour des logiciels :
  • React : Mettre à jour vers React 19.2.1.
  • Next.js : Mettre à jour vers les dernières versions disponibles (par exemple, 16.0.7, 15.5.7, 15.4.8).
• Protection du réseau : Des règles de sécurité ont été déployées sur le réseau de Cloudflare pour bloquer les tentatives d’exploitation.

Source