Accueil / Cybersecurite / [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025)

[MàJ] Vulnérabilité dans React Server Components (05 décembre 2025)

Agence nationalede la écurité de y tème d'information

Une ge tion de ver ion détaillée e trouve à la fin de ce document.

Le CERT-FR a connai ance de multiple exploitation de la vulnérabilité CVE-2025-55182. Le erveur avec une ver ion vulnérable expo é aprè la publication de preuve de concept publique du 5 décembre 2025 doivent être con idéré comme compromi .

Certain billet de blogue [1] [2] incluent de indicateur de compromi ion. Ce indicateur n'ont pa été qualifié par le CERT-FR.

Le CERT-FR a connai ance d'exploitation pour la vulnérabilité CVE-2025-55182.

Le 3 décembre 2025, React a publié un avi de écurité relatif à la vulnérabilité CVE-2025-55182 affectant React Server Component et qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à di tance. L'éditeur de Next.j a également publié un avi de écurité fai ant référence à l'identifiant CVE-2025-66478. Cet identifiant a été rejeté en rai on du doublon avec l'identifiant utili é par React. Cette faille de écurité e t également connue ou le nom de React2Shell.

Cette vulnérabilité concerne plu préci ément le React Server Function . Même i une application n'utili e pa explicitement de telle fonction , elle peut être vulnérable i elle upporte le React Server Component . En particulier, plu ieur cadriciel tel que Next.j implémentent de telle fonction par défaut.

Le technologie React Server Component et React Server Function ont relativement récente (la ver ion 19 de React a été publiée fin 2024) et toute le application utili ant la technologie React ne ont ain i pa néce airement affectée . Veuillez vou référer à la ection y tème affecté pour plu d'information .

Le CERT-FR a connai ance de preuve de concept publique pour cette vulnérabilité et anticipe de exploitation en ma e.

Note : Le CERT-FR a connai ance de la mi e en place de règle de blocage de la vulnérabilité au niveau de plu ieur pare-feu applicatif web populaire . Bien que ce mécani me pui ent rendre l'exploitation de la vulnérabilité plu difficile, il ne peuvent pa remplacer une mi e à jour ver une ver ion corrective.

Le CERT-FR recommande de mettre à jour au plu vite le compo ant ver le ver ion corrective li tée dan le avi éditeur (cf. ection Documentation).

Origine de l’article : lire l’article original
Traduction