CVE-2025-55182
Mis à jour :
Failles dans React Server Components permettant l’exécution de code à distance
Une vulnérabilité critique, identifiée sous le nom de CVE-2025-55182, affecte les React Server Components (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Elle réside dans une désérialisation non sécurisée de requêtes malveillantes au sein du package react-server, spécifiquement dans le protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des charges utiles malformées, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur, menant potentiellement à une exécution de code à distance (RCE).
Cette faille est présente par défaut dans les applications affectées, rendant les déploiements standards immédiatement exposés.
Points clés:
- Nature de la vulnérabilité: Désérialisation non sécurisée de requêtes malveillantes.
- Impact: Exécution de code à distance (RCE) sur le serveur.
- Localisation: Package
react-serveret le protocole “Flight” des RSC. - Cause: Manque de validation de la structure des charges utiles malformées par le serveur.
- Exposition: Présente par défaut dans les configurations courantes.
Vulnérabilités:
- CVE-2025-55182: Désérialisation non sécurisée menant à l’exécution de code à distance (RCE) dans React Server Components.
Recommandations:
- Mise à jour des logiciels: Migrer vers les dernières versions disponibles de React (React 19.2.1) et Next.js (16.0.7, 15.5.7, 15.4.8).
- Protection du réseau: L’implémentation de règles de sécurité réseau, comme celles déployées par Cloudflare, peut aider à bloquer les tentatives d’exploitation.