CVE-2025-66456
Mis à jour :
Exécution de Code à Distance Critique dans React Server Components
Une faille critique, identifiée sous la référence CVE-2025-66456, a été découverte dans les React Server Components (RSC), affectant le protocole Flight. Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter du code arbitraire sur le serveur à distance.
La cause principale est une désérialisation non sécurisée de requêtes HTTP malveillantes adressées aux points d’accès des React Server Functions. L’exploitation réussie permet de modifier la logique d’exécution côté serveur et d’exécuter du code JavaScript privilégié. L’exploit se révèle très fiable (proche de 100%) et ne nécessite aucune modification du code pour être efficace sur les configurations par défaut.
Points Clés:
- Vulnérabilité: CVE-2025-66456
- Type: Exécution de Code à Distance (RCE) critique
- Composant affecté: React Server Components (RSC) et protocole Flight
- Mode d’exploitation: Désérialisation non sécurisée de requêtes HTTP malveillantes
- Impact: Exécution de code arbitraire et privilégié sur le serveur
- Prérequis: Aucun code d’exploitation ni modification de code nécessaire pour les configurations par défaut.
- Fiabilité de l’exploit: Proche de 100%
Vulnérabilités (avec CVE):
- CVE-2025-66456 (Principale)
- CVE-2025-55182 (liée à React)
- CVE-2025-66478 (liée à Next.js, reconnue comme doublon de CVE-2025-55182)
Recommandations:
- Mettre à jour React vers les versions 19.0.1, 19.1.2, ou 19.2.1 pour corriger la faille.