CVE-2025-55182
Mis à jour :
Complication de Code à Distance dans React Server Components
Une vulnérabilité critique, identifiée comme CVE-2025-55182, affecte les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Le problème réside dans la désérialisation non sécurisée de requêtes malveillantes au sein du protocole “Flight” des React Server Components (RSC). Le serveur ne parvient pas à valider adéquatement la structure des données envoyées, permettant à des informations contrôlées par un attaquant d’influencer l’exécution côté serveur et potentiellement de mener à une exécution de code à distance (RCE).
La configuration par défaut des applications concernées est vulnérable, exposant ainsi les déploiements standards.
Points Clés :
- Vecteur d’attaque : Désérialisation non sécurisée de requêtes malveillantes dans le protocole “Flight” des RSC.
- Impact potentiel : Exécution de code à distance (RCE).
- Composants affectés :
react-serverpackage.
Vulnérabilité :
- CVE : CVE-2025-55182
Recommandations :
- Mettre à jour vers les dernières versions de React (19.2.1 et ultérieures).
- Mettre à jour vers les dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8 et ultérieures).
- Les utilisateurs de Cloudflare bénéficient déjà de règles déployées pour bloquer les tentatives d’exploitation.