CVE-2025-55182
Mis à jour :
Exécution de Code à Distance via Insecure Deserialization dans React Server Components
Une faille de sécurité critique a été identifiée dans les composants serveur React (RSC), impactant les versions 19.0, 19.1, et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette vulnérabilité, nommée CVE-2025-55182, réside dans la gestion du protocole “Flight” par le package react-server. Elle permet une exécution de code à distance (RCE) par le biais d’une désérialisation non sécurisée de requêtes malveillantes. L’absence de validation adéquate de la structure des charges utiles malformées permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
La configuration par défaut des applications affectées rend cette vulnérabilité exploitable immédiatement pour les déploiements standards.
Points Clés :
- Type de vulnérabilité : Désérialisation non sécurisée (Insecure Deserialization).
- Impact : Exécution de Code à Distance (Remote Code Execution - RCE).
- Composant affecté :
react-serverpackage, gérant le protocole “Flight” des RSC. - Configuration par défaut : La vulnérabilité est présente dans la configuration par défaut.
Vulnérabilités :
- CVE-2025-55182
Recommandations :
- Mettre à jour React vers la version 19.2.1.
- Mettre à jour Next.js vers la dernière version disponible (par exemple, 16.0.7, 15.5.7, 15.4.8).
- Les organisations utilisant des protections réseau comme Cloudflare peuvent bénéficier de règles mises à jour pour bloquer les tentatives d’exploitation.