CVE-2025-55182

1 minute de lecture

Mis à jour : December 11, 2025

Exécution de Code à Distance via une Vulnérabilité dans React Server Components

Une faille de sécurité critique, identifiée sous le numéro CVE-2025-55182, a été découverte dans les React Server Components (RSC) des versions 19.0, 19.1 et 19.2 de React, ainsi que dans les versions 15 à 16 de Next.js. Le problème réside dans une désérialisation non sécurisée de requêtes malveillantes, ce qui ouvre la porte à l’exécution de code à distance (RCE).

Points Clés :

La vulnérabilité se situe au sein du package react-server et affecte le protocole “Flight” des RSC.
Le serveur ne valide pas correctement la structure des paquets malformés, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Les applications dans leur configuration par défaut sont directement exposées au risque.

Vulnérabilité :

CVE-2025-55182 : Insecure deserialization in React Server Components leading to Remote Code Execution (RCE).

Recommandations :

Les utilisateurs de React et Next.js doivent mettre à jour vers les versions corrigées dès que possible.
Cloudflare a déjà mis en place des protections sur son réseau pour bloquer les tentatives d’exploitation et a mis à jour ses propres systèmes vers les dernières versions de React et Next.js.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast