CVE-2025-55182
Mis à jour :
Désérialisation dangereuse dans React Server Components
Une faille de sécurité, identifiée comme CVE-2025-55182, a été découverte dans les React Server Components (RSC), affectant React versions 19.0 à 19.2 et Next.js versions 15 à 16.
La vulnérabilité réside dans le traitement du protocole “Flight” des RSC, où une désérialisation non sécurisée de requêtes malformées peut mener à l’exécution de code à distance (RCE). Le serveur ne valide pas correctement la structure des données compromises, permettant à un attaquant de manipuler l’exécution côté serveur. Cette faille est présente par défaut, exposant les déploiements standards.
Points clés :
- Désérialisation non sécurisée dans le paquet
react-server. - Exploitation via le protocole “Flight” des RSC.
- Conséquence : Exécution de code à distance (RCE).
- Affecte les versions par défaut des applications concernées.
Vulnérabilité :
- CVE : CVE-2025-55182
- Type : Désérialisation dangereuse menant à l’exécution de code à distance (RCE).
Recommandations :
- Mettre à jour vers les dernières versions de React et Next.js.
- React : 19.2.1
- Next.js : 16.0.7, 15.5.7, 15.4.8
- Des mesures de protection ont été déployées par Cloudflare sur son réseau pour bloquer les tentatives d’exploitation.