CVE-2025-55182

1 minute de lecture

Mis à jour : December 08, 2025

Exécution de code à distance dans React Server Components

Une faille critique a été identifiée dans les React Server Components (RSC), affectant les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette vulnérabilité, référencée sous le code CVE-2025-55182, repose sur une désérialisation non sécurisée de requêtes malveillantes. Le problème se situe au sein du package react-server et de sa gestion du protocole RSC “Flight”. Le serveur ne valide pas adéquatement la structure des charges utiles malformées, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.

Points Clés :

La vulnérabilité se trouve dans le traitement du protocole “Flight” des React Server Components.
Elle permet à des données malveillantes de corrompre le processus d’exécution côté serveur.
La configuration par défaut des applications affectées est compromise.

Vulnérabilités :

CVE-2025-55182 : Désérialisation non sécurisée permettant l’exécution de code à distance (RCE).

Recommandations :

Mettre à jour React vers la version 19.2.1.
Mettre à jour Next.js vers les dernières versions disponibles (par exemple, 16.0.7, 15.5.7, 15.4.8).
Les utilisateurs de Cloudflare bénéficient de règles de protection déployées sur le réseau.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast