CVE-2025-55182
Mis à jour :
Exécution de code à distance dans React Server Components
Une faille de sécurité, désignée CVE-2025-55182, a été identifiée dans les React Server Components (RSC) des versions 19.0, 19.1 et 19.2 de React, ainsi que dans les versions 15 à 16 de Next.js. Elle permet l’exécution de code à distance (RCE) via une désérialisation non sécurisée de requêtes malveillantes. Le problème réside dans le traitement du protocole “Flight” par le composant react-server, qui ne valide pas correctement la structure des données envoyées, autorisant ainsi un attaquant à injecter des données influençant l’exécution côté serveur.
Les applications utilisant la configuration par défaut des versions affectées sont directement exposées.
Points clés :
- Vulnérabilité : Désérialisation non sécurisée de requêtes dans le protocole “Flight” des React Server Components.
- Impact : Exécution de code à distance (RCE).
- Composants affectés :
react-serverpackage. - Contexte : Les configurations par défaut des applications sont vulnérables.
Vulnérabilités identifiées :
- CVE-2025-55182
Recommandations :
- Mettre à jour React vers la version 19.2.1 ou une version ultérieure.
- Mettre à jour Next.js vers les versions 16.0.7, 15.5.7, 15.4.8 ou des versions ultérieures.
- Des mesures de blocage des tentatives d’exploitation sont déployées par des fournisseurs de sécurité comme Cloudflare.