CVE-2025-55182
Mis à jour :
Exécution de code à distance dans React Server Components
Une faille de sécurité découverte dans React Server Components (RSC), affectant les versions 19.0, 19.1, et 19.2 de React, ainsi que les versions 15 à 16 de Next.js, permet l’exécution de code à distance (RCE). Cette vulnérabilité, référencée CVE-2025-55182, réside dans le paquet react-server et concerne la gestion du protocole “Flight” des RSC. Le serveur ne valide pas correctement la structure des requêtes malformées, autorisant des données contrôlées par un attaquant à affecter l’exécution côté serveur.
Les applications utilisant la configuration par défaut des versions affectées sont immédiatement exposées.
Points clés :
- Nature de la vulnérabilité : Désérialisation non sécurisée de requêtes malveillantes.
- Impact : Exécution de code à distance (RCE).
- Localisation : Paquet
react-server, gestion du protocole “Flight”. - Risque par défaut : Les déploiements standards sont vulnérables.
Vulnérabilités :
- CVE-2025-55182
Recommandations :
- Mettre à jour vers la dernière version de React (19.2.1 et au-delà).
- Mettre à jour vers les dernières versions de Next.js (16.0.7, 15.5.7, 15.4.8 et au-delà).
- Les solutions de sécurité comme Cloudflare ont implémenté des règles pour bloquer les tentatives d’exploitation.