CVE-2025-55182

1 minute de lecture

Mis à jour : December 22, 2025

Vulnérabilité dans les Composants Serveur React et Next.js

Une faille de sécurité, identifiée sous la référence CVE-2025-55182, affecte les Composants Serveur React (RSC) et concerne les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Le problème réside dans une désérialisation non sécurisée de requêtes malveillantes, ouvrant la porte à l’exécution de code à distance (RCE).

Cette vulnérabilité est présente dans le package react-server et découle d’un traitement inadéquat du protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des payloads malformés, permettant ainsi à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.

Les applications affectées sont exposées par défaut, sans configuration spécifique requise pour exploiter la faille.

Points clés:

Nature de la vulnérabilité: Désérialisation non sécurisée.
Impact: Exécution de code à distance (RCE).
Composants affectés: Composants Serveur React (RSC) et Next.js.

Vulnérabilités (avec CVE si possible):

CVE-2025-55182: Désérialisation non sécurisée dans le protocole “Flight” des Composants Serveur React.

Recommandations:

Mettre à jour React vers la version 19.2.1.
Mettre à jour Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8).
Mettre en place des règles de sécurité réseau pour bloquer les tentatives d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast