CVE-2025-55182

1 minute de lecture

Mis à jour : January 19, 2026

Risque d’exécution de code à distance via les React Server Components

Une faille de sécurité, identifiée comme CVE-2025-55182, a été découverte dans les React Server Components (RSC) pour les versions 19.0 à 19.2 de React et les versions 15 à 16 de Next.js. Elle permet l’exécution de code à distance (RCE) sur le serveur via une désérialisation non sécurisée de requêtes malveillantes.

Points Clés:

Type de vulnérabilité: Désérialisation non sécurisée entraînant une exécution de code à distance (RCE).
Composants affectés: React Server Components (RSC) et le protocole “Flight”.
Emplacement: Package react-server, dans la gestion des payloads malformés.
Impact: Les configurations par défaut des applications utilisant les versions vulnérables sont directement exposées.

Vulnérabilité:

CVE: CVE-2025-55182
Cause: Le serveur ne valide pas correctement la structure des payloads malformés, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.

Recommandations:

Les versions affectées de React et Next.js doivent être mises à jour.
Des protections ont été déployées par Cloudflare pour bloquer les tentatives d’exploitation.
Des mises à jour spécifiques mentionnées dans l’article incluent React 19.2.1 et les dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-55182

Partager sur

Vous pourriez aimer

Weekly Update 487

Revue Hebdomadaire : Tendances et Commentaires en Ligne

On the Coming Industrialisation of Exploit Generation with LLMs

Industrialisation de la génération d’exploits par les IA

New OpenAI leak hints at upcoming ChatGPT features

Microsoft releases OOB Windows updates to fix shutdown, Cloud PC bugs