CVE-2025-55182

1 minute de lecture

Mis à jour : January 12, 2026

Exploitation de React Server Components via Désérialisation Non Sécurisée

Une faille critique, identifiée sous la référence CVE-2025-55182, a été découverte dans les React Server Components (RSC), impactant React versions 19.0, 19.1, 19.2, et Next.js versions 15 à 16. Cette vulnérabilité permet l’exécution de code à distance (RCE) par le biais d’une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans le package react-server et son traitement du protocole RSC “Flight”. Le serveur ne valide pas adéquatement la structure des charges utiles malformées, autorisant ainsi des données contrôlées par un attaquant à influencer l’exécution côté serveur.

Points Clés :

Nature de la faille : Désérialisation non sécurisée conduisant à l’exécution de code à distance.
Composants affectés : React Server Components (RSC), package react-server.
Protocole exploité : Protocole RSC “Flight”.
Cause : Manque de validation de la structure des charges utiles malformées.

Vulnérabilités :

CVE-2025-55182 : Désérialisation non sécurisée de requêtes dans React Server Components, permettant l’exécution de code à distance (RCE).

Recommandations :

Les applications utilisant les versions affectées de React et Next.js sont exposées par défaut.
Il est conseillé de mettre à jour vers les dernières versions disponibles :
- React : 19.2.1
- Next.js : 16.0.7, 15.5.7, 15.4.8
Les solutions de sécurité comme celles proposées par Cloudflare peuvent aider à bloquer les tentatives d’exploitation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Windows 11 KB5074109 & KB5073455 cumulative updates released

Who Decides Who Doesn’t Deserve Privacy?

What Should We Learn From How Attackers Leveraged AI in 2025?

L’IA, un catalyseur pour les méthodes d’attaque éprouvées

[Webinar] Securing Agentic AI: From MCPs and Tool Access to Shadow API Key Sprawl