CVE-2025-55182
Mis à jour :
Exploitation de Composants Serveur React : Risques et Préventions
Une faille de sécurité identifiée (CVE-2025-55182) affecte les Composants Serveur React (RSC) et est présente dans les versions 19.0, 19.1 et 19.2 de React, ainsi que dans les versions 15 à 16 de Next.js. La vulnérabilité réside dans une désérialisation non sécurisée de requêtes malveillantes au sein du package react-server, plus précisément dans le protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des requêtes malformées, ce qui permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur et de potentiellement exécuter du code à distance (RCE). Cette vulnérabilité est active par défaut dans les déploiements standards, exposant ainsi immédiatement les applications concernées.
Points Clés :
- Nature de la vulnérabilité : Désérialisation non sécurisée de requêtes malveillantes.
- Impact : Permet l’exécution de code à distance (RCE).
- Localisation : Package
react-serveret protocole “Flight” des RSC. - Configuration par défaut : La faille est présente dans la configuration par défaut, rendant les déploiements standards vulnérables.
Vulnérabilités :
- CVE-2025-55182 : Insecure deserialization leading to Remote Code Execution in React Server Components.
Recommandations :
- Mise à jour immédiate : Appliquer la dernière version de React (19.2.1) et les dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8).
- Protection réseau : Utiliser des solutions comme Cloudflare qui déploient des règles pour bloquer les tentatives d’exploitation.