CVE-2025-55182

1 minute de lecture

Mis à jour : January 06, 2026

Détournement de Composants Serveur React via Désérialisation Insecure

Une faille de sécurité critique, identifiée sous la référence CVE-2025-55182, affecte les Composants Serveur React (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette vulnérabilité réside dans le protocole “Flight” des RSC et concerne le package react-server. Elle permet l’exécution de code à distance (RCE) suite à une désérialisation non sécurisée de requêtes malveillantes. Le serveur ne parvient pas à valider correctement la structure des charges utiles malformées, autorisant ainsi des données contrôlées par un attaquant à impacter l’exécution côté serveur.

Points Clés :

Type de vulnérabilité : Désérialisation de requêtes malveillantes.
Impact : Exécution de code à distance (RCE).
Composant affecté : Package react-server et protocole “Flight” des RSC.

Vulnérabilités :

CVE-2025-55182 : Désérialisation insecure permettant l’exécution de code à distance.

Recommandations :

Mettre à jour React vers la version 19.2.1.
Mettre à jour Next.js vers les versions les plus récentes disponibles (par exemple, 16.0.7, 15.5.7, 15.4.8).
Les configurations par défaut des applications affectées sont vulnérables, rendant les déploiements standards immédiatement à risque.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Spain arrests 34 suspects linked to Black Axe cyber crime

MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors

RustyWater : Nouvelle menace d’espionnage iranien

Microsoft may soon allow IT admins to uninstall Copilot

Ireland recalls almost 13,000 passports over missing IRL code

Rappel de Passeports Irlandais En Raison d’une Erreur d’Impression