CVE-2025-55182

plus petit que 1 minute de lecture

Mis à jour : January 08, 2026

Exécution de Code à Distance dans React Server Components

Une faille critique, identifiée sous la référence CVE-2025-55182, affecte les React Server Components (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Ce problème réside dans une désérialisation non sécurisée de requêtes malveillantes, ouvrant la porte à l’exécution de code à distance (RCE) sur le serveur.

Points Clés :

La vulnérabilité concerne la gestion du protocole “Flight” des RSC au sein du package react-server.
Le serveur ne valide pas correctement la structure des charges utiles malformées, permettant l’injection de données contrôlées par un attaquant pour influencer l’exécution côté serveur.
Les déploiements par défaut des applications affectées sont directement exposés.

Vulnérabilités :

CVE-2025-55182 : Désérialisation non sécurisée entraînant une exécution de code à distance (RCE).

Recommandations :

Mettre à jour React vers la version 19.2.1.
Mettre à jour Next.js vers les versions 16.0.7, 15.5.7 ou 15.4.8.
Les utilisateurs de Cloudflare bénéficient de règles mises à jour sur leur réseau pour bloquer les tentatives d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Spain arrests 34 suspects linked to Black Axe cyber crime

MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors

RustyWater : Nouvelle menace d’espionnage iranien

Microsoft may soon allow IT admins to uninstall Copilot

Ireland recalls almost 13,000 passports over missing IRL code

Rappel de Passeports Irlandais En Raison d’une Erreur d’Impression