CVE-2025-55182
Mis à jour :
Exécution de code à distance dans React Server Components
Une faille de sécurité identifiée sous la référence CVE-2025-55182 menace React Server Components (RSC) et affecte les versions 19.0 à 19.2 de React, ainsi que les versions 15 à 16 de Next.js. La vulnérabilité réside dans une désérialisation non sécurisée de requêtes malveillantes au sein du package react-server, spécifiquement dans le protocole “Flight” de RSC. Le serveur ne valide pas correctement les charges utiles malformées, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur et potentiellement mener à une exécution de code à distance (RCE).
Points clés:
- Nature de la vulnérabilité : Désérialisation non sécurisée conduisant à l’exécution de code à distance.
- Composants affectés : React Server Components (RSC).
- Logiciels impactés : React (versions 19.0, 19.1, 19.2) et Next.js (versions 15 à 16).
- Cause : Mauvaise validation de la structure des charges utiles malformées dans le protocole “Flight” de RSC.
- Risque : Les déploiements par défaut des applications vulnérables sont exposés.
Vulnérabilité :
- CVE : CVE-2025-55182
Recommandations :
- Mettre à jour React vers la version 19.2.1.
- Mettre à jour Next.js vers les dernières versions disponibles (par exemple, 16.0.7, 15.5.7, 15.4.8, selon la branche).
- Les mesures de sécurité au niveau du réseau, comme celles déployées par Cloudflare, peuvent aider à bloquer les tentatives d’exploitation.