CVE-2025-55182
Mis à jour :
Exécution de code à distance dans React Server Components
Une vulnérabilité critique affecte les React Server Components (RSC) dans les versions 19.0 à 19.2 de React et les versions 15 à 16 de Next.js. La faille réside dans une désérialisation non sécurisée de requêtes malveillantes au sein du package react-server, spécifiquement dans la gestion du protocole “Flight” des RSC.
Le problème principal est l’absence de validation adéquate de la structure des paquets malformés par le serveur. Cela permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur, ouvrant la voie à une exécution de code à distance (RCE).
Cette vulnérabilité est présente par défaut dans les configurations courantes des applications, exposant ainsi les déploiements standards à un risque immédiat.
Points clés :
- Type de vulnérabilité : Désérialisation non sécurisée entraînant une exécution de code à distance (RCE).
- Composant affecté :
react-serverpackage, gérant le protocole “Flight” des RSC. - Conséquence : Permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
- Risque par défaut : Présente dans la configuration standard des applications affectées.
Vulnérabilités :
- CVE-2025-55182
Recommandations :
- Mettre à jour React vers la version 19.2.1.
- Mettre à jour Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8).
- Les utilisateurs de Cloudflare bénéficient de règles de blocage déjà déployées sur leur réseau.