CVE-2025-66456

plus petit que 1 minute de lecture

Mis à jour : December 09, 2025

Exécution de code à distance dans React Server Components

Une faille critique de sécurité, identifiée sous la référence CVE-2025-66456, a été découverte dans les React Server Components (RSC), affectant spécifiquement le protocole Flight. Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter du code arbitraire sur le serveur.

Points Clés :

Nature de la vulnérabilité : Exécution de code à distance (RCE).
Composant affecté : React Server Components (RSC), protocole Flight.
Impact : Les attaquants peuvent influencer la logique d’exécution côté serveur et exécuter du code JavaScript privilégié.
Facilité d’exploitation : L’exploit est hautement fiable (proche de 100%) et ne nécessite aucune modification du code pour les configurations par défaut.

Vulnérabilités :

CVE-2025-66456 (principale)
CVE-2025-55182 (React)
CVE-2025-66478 (Next.js) - Rejetée comme doublon de CVE-2025-55182.

La cause racine identifiée est la désérialisation non sécurisée de requêtes HTTP malveillantes adressées aux points de terminaison des fonctions React Server.

Recommandations :

Appliquer les correctifs disponibles dans les versions suivantes de React : 19.0.1, 19.1.2, et 19.2.1.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-66456

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast