CVE-2025-55182

1 minute de lecture

Mis à jour : December 16, 2025

Faille critique dans React et Next.js : Exécution de code à distance possible

Une vulnérabilité majeure, identifiée sous la référence CVE-2025-55182, affecte les composants React côté serveur (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette faille permet l’exécution de code à distance (RCE) par le biais d’une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans la gestion du protocole “Flight” par le package react-server, où la validation des structures de données malformées est insuffisante.

Points Clés :

Nature de la vulnérabilité : Désérialisation non sécurisée permettant l’exécution de code à distance (RCE).
Composants affectés : React Server Components (RSC) dans React et Next.js.
Impact : Les applications déployées avec la configuration par défaut sont directement exposées.

Vulnérabilités :

CVE-2025-55182 : Insecure deserialization leading to Remote Code Execution (RCE).

Recommandations :

Mise à jour des librairies : Il est impératif de mettre à jour React vers la version 19.2.1 et Next.js vers les versions 16.0.7, 15.5.7 ou 15.4.8.
Surveillance du réseau : L’implémentation de règles de sécurité sur les réseaux (comme celles déployées par Cloudflare) peut aider à bloquer les tentatives d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast