CVE-2025-55182
Mis à jour :
Exploitation de React Server Components et Next.js
Une faille de sécurité affectant React Server Components (RSC) et les versions de Next.js 15 à 16 permet l’exécution de code à distance (RCE) via une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans le paquet react-server et sa gestion du protocole RSC “Flight”, où le serveur ne valide pas correctement les charges utiles malformées. Les déploiements par défaut sont exposés. Cloudflare a implémenté des protections et mis à jour ses systèmes avec les dernières versions de React et Next.js.
Points Clés :
- Type de vulnérabilité : Désérialisation non sécurisée menant à l’exécution de code à distance (RCE).
- Composants affectés : React Server Components (RSC), React versions 19.0, 19.1, 19.2 ; Next.js versions 15 à 16.
- Localisation : Paquet
react-server, gestion du protocole “Flight”. - Risque : Les configurations par défaut sont vulnérables.
- Mesures prises : Cloudflare a déployé des règles de blocage et mis à jour ses logiciels.
Vulnérabilité :
- CVE-2025-55182 (Bien que le texte ne fournisse pas le CVE directement, il est explicitement mentionné dans le titre de l’article.)
Recommandations :
- Mettre à jour vers React 19.2.1 ou ultérieur.
- Mettre à jour vers les dernières versions disponibles de Next.js (ex: 16.0.7, 15.5.7, 15.4.8).
- Veiller à une validation rigoureuse des charges utiles dans le traitement des protocoles serveur.