CVE-2025-55183
Mis à jour :
Divulgation de code source dans React Server Components
Une faille de sécurité, identifiée comme CVE-2025-55183, a été découverte dans React Server Components. Cette vulnérabilité affecte les versions 19.0.0 à 19.2.1, ainsi que les modules associés react-server-dom-parcel, react-server-dom-turbopack et react-server-dom-webpack, lorsqu’ils sont configurés d’une certaine manière.
L’exploitation de cette faille permet à un attaquant d’obtenir le code source compilé des Server Actions. En envoyant des requêtes HTTP spécialement conçues à une Server Function vulnérable, un attaquant peut potentiellement accéder au code source de n’importe quelle Server Function si celle-ci expose explicitement ou implicitement un argument sous forme de chaîne de caractères. L’existence d’une telle Server Function est une condition nécessaire pour l’exploitation.
Points clés :
- Type de vulnérabilité : Divulgation d’informations.
- Composant affecté : React Server Components et ses modules DOM associés.
- Versions affectées : 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0, 19.2.1.
Vulnérabilité :
- CVE-2025-55183 : Permet l’extraction de code source de Server Actions via des requêtes HTTP spécialement conçues.
Recommandations :
Bien que l’article ne détaille pas les recommandations spécifiques, la nature de la vulnérabilité suggère la nécessité de mettre à jour React Server Components vers une version corrigée et de réviser la configuration des Server Functions pour éviter l’exposition involontaire d’arguments sous forme de chaînes de caractères.