CVE-2025-55182

Vulnérabilité dans React Server Components : Risque d’exécution de code à distance

Une faille de sécurité identifiée comme CVE-2025-55182 affecte les composants React côté serveur (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Le problème réside dans une désérialisation non sécurisée de requêtes malveillantes, susceptible de permettre une exécution de code à distance (RCE). Ce défaut est présent dans le package react-server et concerne le traitement du protocole “Flight” des RSC. Le serveur ne valide pas adéquatement la structure des charges utiles malformées, ce qui permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.

La vulnérabilité est active par défaut dans les applications affectées, exposant ainsi les déploiements standards à un risque immédiat.

Points Clés :

• Nature de la vulnérabilité : Désérialisation non sécurisée menant à une exécution de code à distance (RCE).
• Composants affectés : React Server Components (RSC).
• Logiciels concernés : React (versions 19.0, 19.1, 19.2) et Next.js (versions 15 à 16).
• Cause : Manque de validation adéquate de la structure des charges utiles malformées dans le protocole “Flight” des RSC.
• Impact : Risque d’exécution de code à distance sur le serveur.
• Exposition : La faille est présente dans la configuration par défaut, rendant les installations standard vulnérables.

Vulnérabilités :

• CVE : CVE-2025-55182
• Type : Insecure Deserialization (Désérialisation non sécurisée), Remote Code Execution (RCE)

Recommandations :

• Mise à jour : Mettre à jour React vers la version 19.2.1 et Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8, ou ultérieures).
• Protection réseau : Des mesures de protection au niveau du réseau, telles que celles déployées par Cloudflare, peuvent bloquer les tentatives d’exploitation.

Source