CVE-2025-55182
Mis à jour :
Exécution de Code à Distance via une Vulnérabilité dans React Server Components
Une faille de sécurité, identifiée sous le nom de CVE-2025-55182, affecte React Server Components (RSC) et impacte les versions 19.0, 19.1, 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Elle réside dans le protocole “Flight” de RSC, où une désérialisation non sécurisée de requêtes malveillantes peut mener à une exécution de code à distance (RCE). Le serveur ne valide pas correctement la structure des données malformées, permettant ainsi à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Points Clés :
- Nature de la vulnérabilité : Désérialisation non sécurisée de requêtes dans React Server Components (RSC).
- Impact : Permet l’exécution de code à distance (RCE).
- Localisation : Le problème se situe dans le package
react-serveret sa gestion du protocole “Flight” de RSC. - Risque par défaut : La vulnérabilité est présente dans la configuration par défaut des applications affectées, les exposant immédiatement.
Vulnérabilités :
- CVE-2025-55182 : Permet l’exécution de code à distance via une désérialisation non sécurisée dans le protocole RSC “Flight”.
Recommandations :
- Mettre à jour React vers la version 19.2.1.
- Mettre à jour Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8).
- Des règles de sécurité ont été déployées pour bloquer les tentatives d’exploitation de cette faille.