CVE-2025-55182
Mis à jour :
Exécution de Code à Distance dans React Server Components
Une faille de sécurité, identifiée sous la référence CVE-2025-55182, affecte les React Server Components (RSC) dans les versions 19.0 à 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette vulnérabilité découle d’une désérialisation non sécurisée de requêtes malveillantes, ouvrant la porte à une exécution de code à distance (RCE) sur le serveur. Le problème réside dans le traitement du protocole “Flight” par le package react-server, qui ne valide pas correctement la structure des charges utiles malformées, permettant ainsi à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Points Clés :
- Type de vulnérabilité : Désérialisation non sécurisée conduisant à l’exécution de code à distance (RCE).
- Composants affectés : React Server Components (RSC) dans le package
react-server. - Impact : Exécution de code arbitraire sur le serveur.
- Configuration par défaut : La vulnérabilité est présente dans la configuration par défaut, rendant les déploiements standards immédiatement exposés.
Vulnérabilités :
- CVE-2025-55182 : Désérialisation non sécurisée dans le protocole “Flight” de React Server Components.
Recommandations :
- Mise à jour immédiate : Les développeurs doivent mettre à jour React vers la version 19.2.1 ou ultérieure.
- Mise à jour de Next.js : Les utilisateurs de Next.js doivent mettre à jour vers les dernières versions disponibles (par exemple, 16.0.7, 15.5.7, 15.4.8).
- Protection réseau : Des mesures de protection au niveau du réseau, telles que celles déployées par Cloudflare, peuvent aider à bloquer les tentatives d’exploitation.