CVE-2025-66456

Vulnérabilité Critique dans React Server Components

Une faille de sécurité majeure, identifiée sous la référence CVE-2025-66456, affecte le protocole React Server Components (RSC), connu sous le nom de protocole Flight. Cette vulnérabilité de type “exécution de code à distance” (RCE) permet à des acteurs malveillants non authentifiés d’exécuter du code arbitraire sur le serveur.

La cause racine réside dans une désérialisation non sécurisée de requêtes HTTP malveillantes adressées aux points d’accès des fonctions serveur React. L’exploitation de cette faille permet d’altérer la logique d’exécution côté serveur, conduisant à l’exécution de code JavaScript privilégié. L’exploit est considéré comme très fiable et ne nécessite pas de modifications du code pour être efficace dans les configurations par défaut.

Points Clés :

• Type de vulnérabilité : Exécution de code à distance (RCE).
• Composant affecté : React Server Components (RSC), protocole Flight.
• Cause : Désérialisation non sécurisée de requêtes HTTP malveillantes.
• Impact : Exécution de code JavaScript privilégié sur le serveur.
• Fiabilité de l’exploit : Quasi-100%.
• Prérequis : Aucune modification de code requise pour les configurations par défaut.

Vulnérabilités Associées :

• CVE-2025-66456 (principale)
• CVE-2025-55182 (React)
• CVE-2025-66478 (Next.js - rejeté comme doublon de CVE-2025-55182)

Recommandations :

• Appliquer les correctifs disponibles pour React : versions 19.0.1, 19.1.2 et 19.2.1.

Source