CVE-2025-55182
Mis à jour :
Exécution de code à distance via une faille dans React Server Components
Une vulnérabilité critique a été découverte dans React Server Components (RSC), affectant les versions 19.0, 19.1, et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Cette faille, identifiée sous le nom de CVE-2025-55182, réside dans le protocole de communication “Flight” du paquet react-server. Elle permet une exécution de code à distance (RCE) due à une désérialisation non sécurisée de requêtes malicieuses.
Le problème provient de la non-validation adéquate par le serveur de la structure de paquets malformés, ce qui permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur. La configuration par défaut des applications affectées est vulnérable, exposant ainsi immédiatement les déploiements standards.
Points clés :
- Type de vulnérabilité : Désérialisation non sécurisée de requêtes, permettant l’exécution de code à distance (RCE).
- Composants affectés : React Server Components (RSC), paquet
react-server. - Produits et versions affectés :
- React : 19.0, 19.1, 19.2
- Next.js : 15, 16
- Protocole affecté : Protocole “Flight” de RSC.
Vulnérabilités :
- CVE-2025-55182 : Insecure deserialization in React Server Components leading to Remote Code Execution.
Recommandations :
- Mettre à jour vers les dernières versions disponibles : React 19.2.1 et Next.js (16.0.7, 15.5.7, 15.4.8).
- Les solutions de sécurité réseau, comme celles déployées par Cloudflare, peuvent aider à bloquer les tentatives d’exploitation.