CVE-2025-55182

1 minute de lecture

Mis à jour : December 25, 2025

Exécution de code à distance dans React Server Components

Une faille de sécurité, identifiée sous le numéro CVE-2025-55182, a été découverte dans les React Server Components (RSC), impactant React versions 19.0 à 19.2 et Next.js versions 15 à 16. Elle permet l’exécution de code à distance (RCE) par le biais d’une désérialisation non sécurisée de requêtes malveillantes.

La vulnérabilité réside dans le package react-server et le protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des charges utiles malformées, ouvrant la porte à des données contrôlées par l’attaquant pour influencer l’exécution côté serveur. Les configurations par défaut des applications affectées sont exposées.

Points clés :

Désérialisation non sécurisée dans React Server Components.
Risque d’exécution de code à distance (RCE).
Affecte React versions 19.0, 19.1, 19.2 et Next.js versions 15 à 16.
Vulnérabilité dans le package react-server et le protocole “Flight”.
Les déploiements par défaut sont concernés.

Vulnérabilités :

CVE-2025-55182 : Désérialisation non sécurisée permettant RCE.

Recommandations :

Mettre à jour React vers la version 19.2.1 ou ultérieure.
Mettre à jour Next.js vers les dernières versions disponibles (ex: 16.0.7, 15.5.7, 15.4.8).
Les utilisateurs de Cloudflare bénéficient de règles de protection contre cette faille.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast