CVE-2025-55182
Mis à jour :
Exécution de Code à Distance dans React Server Components
Une faille critique, identifiée comme CVE-2025-55182, a été découverte dans React Server Components (RSC), affectant les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette vulnérabilité réside dans une désérialisation non sécurisée de requêtes malveillantes, ouvrant la voie à une exécution de code à distance (RCE).
Le problème se situe dans le package react-server et son traitement du protocole “Flight” de RSC. Le serveur ne parvient pas à valider correctement la structure des charges utiles malformées, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur. La configuration par défaut des applications affectées rend ces dernières vulnérables immédiatement.
Points Clés :
- Nature de la vulnérabilité : Désérialisation non sécurisée de requêtes malveillantes.
- Impact : Exécution de Code à Distance (RCE) sur le serveur.
- Composants affectés : React Server Components (RSC), package
react-server, protocole “Flight”. - Configuration par défaut : Le défaut des déploiements standards les rend vulnérables.
Vulnérabilités (avec CVE) :
- CVE-2025-55182 : Permet l’exécution de code à distance par le biais de la désérialisation non sécurisée dans React Server Components.
Recommandations :
- Mise à jour des logiciels : Passer à React version 19.2.1 et aux dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8).
- Protection réseau : Utiliser des règles de sécurité réseau (comme celles déployées par Cloudflare) pour bloquer les tentatives d’exploitation.