CVE-2025-55182
Mis à jour :
Attaque par Désérialisation Insecure dans React Server Components
Une faille critique, identifiée comme CVE-2025-55182, affecte les React Server Components (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette vulnérabilité réside dans une désérialisation non sécurisée des requêtes malveillantes, ouvrant la voie à l’exécution de code à distance (RCE). Le problème se situe dans le package react-server et sa gestion du protocole “Flight” des RSC. Le serveur ne parvient pas à valider correctement la structure des payloads malformés, permettant ainsi à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Les applications concernées sont vulnérables dans leur configuration par défaut, exposant immédiatement les déploiements standards.
Points clés :
- Vulnerability: Insecure deserialization of malicious requests.
- Impact: Remote Code Execution (RCE).
- Affected Components: React Server Components (RSC),
react-serverpackage. - Affected Versions: React 19.0, 19.1, 19.2; Next.js 15 through 16.
- Exploitation: Default configuration of affected applications is vulnerable.
Vulnérabilités (avec CVE) :
- CVE-2025-55182 : Désérialisation insecure dans le protocole RSC “Flight”.
Recommandations :
- Mettre à jour vers React 19.2.1.
- Mettre à jour vers les dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8).
- Des mesures de protection, telles que des règles de blocage, peuvent être appliquées au niveau du réseau (ex: Cloudflare).