CVE-2025-55182
Mis à jour :
Exécution de Code à Distance via React Server Components
Une faille de sécurité (CVE-2025-55182) a été découverte dans React Server Components (RSC), impactant les versions 19.0 à 19.2 de React et les versions 15 à 16 de Next.js. Cette vulnérabilité permet l’exécution de code à distance (RCE) due à une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans la manipulation du protocole “Flight” par le composant react-server, qui ne valide pas correctement la structure des données envoyées, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Points Clés :
- Nature de la vulnérabilité : Désérialisation non sécurisée de requêtes malveillantes.
- Impact : Exécution de Code à Distance (RCE) sur le serveur.
- Composants affectés :
react-serveret le protocole “Flight”. - Risque par défaut : Les applications déployées dans leur configuration par défaut sont directement exposées.
Vulnérabilité :
- CVE : CVE-2025-55182
- Description : Gestion incorrecte des payloads malformés dans le protocole “Flight” des RSC, menant à une désérialisation non sécurisée et à la possibilité d’influencer l’exécution côté serveur.
Recommandations :
- Mise à jour de React : Mettre à jour vers React 19.2.1.
- Mise à jour de Next.js : Mettre à jour vers les dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8).
- Protection réseau : Les mesures de protection réseau, comme celles déployées par Cloudflare, peuvent aider à bloquer les tentatives d’exploitation.