CVE-2025-55182
Mis à jour :
Exécution de code à distance dans React Server Components
Une vulnérabilité (CVE-2025-55182) affecte les React Server Components (RSC) dans les versions 19.0 à 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Elle permet l’exécution de code à distance (RCE) via une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans le paquet react-server et son traitement du protocole “Flight” des RSC, où la validation des charges utiles malformées est insuffisante, permettant à des données contrôlées par un attaquant d’influencer l’exécution côté serveur.
Points clés :
- Affecte React Server Components (RSC).
- Permet l’exécution de code à distance (RCE).
- La vulnérabilité est présente dans la configuration par défaut des applications affectées.
Vulnérabilité :
- CVE : CVE-2025-55182
- Description : Désérialisation non sécurisée de requêtes malveillantes dans le protocole “Flight” des RSC, sans validation adéquate de la structure des charges utiles.
Recommandations :
- Mettre à jour React vers la version 19.2.1 ou une version ultérieure.
- Mettre à jour Next.js vers les dernières versions disponibles (ex: 16.0.7, 15.5.7, 15.4.8).
- Les protections au niveau du réseau, comme celles déployées par Cloudflare, peuvent bloquer les tentatives d’exploitation.