CVE-2025-55182
Mis à jour :
Exécution de Code à Distance via une Vulnérabilité dans React Server Components
Une faille de sécurité identifiée sous la référence CVE-2025-55182 affecte les composants React Server Components (RSC) dans les versions 19.0, 19.1 et 19.2 de React, ainsi que les versions 15 à 16 de Next.js. Ce problème réside dans une désérialisation non sécurisée de requêtes malveillantes, ouvrant la porte à l’exécution de code à distance (RCE). La vulnérabilité, présente dans le package react-server et sa gestion du protocole “Flight” des RSC, permet à des données contrôlées par un attaquant d’influencer l’exécution côté serveur en raison d’une validation insuffisante de la structure des charges utiles malformées.
Points Clés :
- Nature de la Vulnérabilité : Désérialisation non sécurisée menant à l’exécution de code à distance.
- Composants Affectés : React Server Components (RSC), spécifiquement le protocole “Flight”.
- Emplacement Technique : Package
react-server, mauvaise validation des payloads. - Risque par Défaut : La configuration par défaut des applications affectées est compromise, rendant les déploiements standards vulnérables.
Vulnérabilités :
- CVE : CVE-2025-55182
- Type : Exécution de Code à Distance (RCE) via désérialisation non sécurisée.
Recommandations :
- Mise à Jour des Logiciels :
- Mettre à jour React vers la version 19.2.1.
- Mettre à jour Next.js vers les dernières versions disponibles (16.0.7, 15.5.7, 15.4.8).
- Protection Réseau : Des règles de sécurité ont été déployées sur le réseau de Cloudflare pour bloquer les tentatives d’exploitation.