CVE-2025-55182
Mis à jour :
Exécution de Code à Distance via React Server Components
Une faille critique, identifiée sous la référence CVE-2025-55182, affecte les React Server Components (RSC) dans les versions 19.0 à 19.2 de React et les versions 15 à 16 de Next.js. Elle permet à un attaquant d’exécuter du code à distance (RCE) en exploitant une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans le paquet react-server et sa gestion du protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des charges utiles altérées, ce qui permet à des données contrôlées par l’attaquant d’influencer l’exécution côté serveur.
Points Clés:
- Nature de la vulnérabilité: Désérialisation non sécurisée de requêtes, conduisant à l’exécution de code à distance (RCE).
- Composants affectés: React Server Components (RSC) dans les versions de React et Next.js mentionnées.
- Problème technique: Mauvaise validation de la structure des charges utiles par le paquet
react-serverlors de l’utilisation du protocole “Flight”. - Surface d’attaque: La vulnérabilité est présente dans la configuration par défaut des applications affectées.
Vulnérabilités Identifiées:
- CVE-2025-55182: Permet l’exécution de code à distance via une désérialisation non sécurisée dans React Server Components.
Recommandations:
- Mettre à jour React vers la version 19.2.1.
- Mettre à jour Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8).
- Les utilisateurs de Cloudflare bénéficient de règles de protection déployées sur leur réseau.