CVE-2025-55182
Mis à jour :
Exécution de code à distance dans React Server Components
Une vulnérabilité critique, nommée CVE-2025-55182, affecte les composants React Server (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Le problème réside dans une désérialisation non sécurisée de requêtes malveillantes, ouvrant la porte à l’exécution de code à distance (RCE).
Le défaut se situe au niveau du package react-server et de la manière dont il gère le protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des paquets altérés, ce qui permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Points Clés :
- Vulnérabilité : CVE-2025-55182
- Type : Désérialisation non sécurisée, entraînant l’exécution de code à distance (RCE).
- Produits affectés : React versions 19.0, 19.1, 19.2 ; Next.js versions 15 à 16.
- Cause : Mauvaise validation de la structure des requêtes malveillantes dans le protocole “Flight” des RSC.
- Risque par défaut : La configuration par défaut des applications affectées est vulnérable.
Recommandations :
- Mettre à jour React vers la version 19.2.1 ou ultérieure.
- Mettre à jour Next.js vers les dernières versions disponibles (par exemple, 16.0.7, 15.5.7, 15.4.8).
- Des mesures de protection ont été déployées par des acteurs comme Cloudflare pour bloquer les tentatives d’exploitation.