Exécution de code à distance affectant React Server Components

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2025/ALERTE/074

Date de l’alerte : 04/12/2025 

APERÇU :

Une vulnérabilité critique affectant React Server Components permettrait à un acteur malveillant d’exécuter du code à distance dans les systèmes affectés. 

DESCRIPTION :

React Server Components (RSC) est une technologie clé intégrée à React qui permet d’exécuter certains composants directement sur le serveur afin d’optimiser la performance et la sécurité des applications web. RSC améliore la posture globale des applications en réduisant la quantité de code JavaScript envoyée au navigateur, en simplifiant l’accès aux données côté serveur et en limitant l’exposition des informations sensibles.

Cette technologie est affectée par une vulnérabilité critique libellée CVE-2025-55182 permettant à un acteur malveillant d’exécuter du code arbitraire sur les systèmes affectés. Elle résulte d’une faille dans la désérialisation des flux des RSC, permettant à un acteur malveillant de créer des requêtes spécialement conçues pour injecter du code et compromettre l’intégrité du serveur.

Cette vulnérabilité est classée critique avec un score de sévérité de 10.0 selon le CVSS V3.1.

 IMPACT :

  • Exécution de code à distance ; 
  • Compromission de l’intégrité du système ; 
  • Atteinte à la confidentialité des données ; 
  • Atteinte à la disponibilité. 

SYSTÈMES AFFECTÉS : 

  • les versions 19.0.0, 19.1.0, 19.1.1, et 19.2.0 des packages react-server-dom-parcel, react-server-dom-webpack et react-server-dom-turbopack ; 
  • les versions 14.3.0-canary.77 de Next.js et les dernières versions ; 
  • la version 15.0.4 de Next.js et les versions antérieures ; 
  • la version 15.1.18 de Next.js et les versions antérieures ; 
  • la version 15.2.5 de Next.js et les versions antérieures ; 
  • la version 15.3.5 de Next.js et les versions antérieures ; 
  • la version 15.4.7 de Next.js et les versions antérieures ; 
  • la version 15.5.6 de Next.js et les versions antérieures ; 
  • la version 16.0.6 de Next.js et les versions antérieures. 

MESURES À PRENDRE :

  • Mettre à jour RSC vers les versions 19.0.1, 19.1.2, 19.2.1 ; 
  • Mettre à jour Next.js vers les versions 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 ; 
  • Revenir à la version 14.3.0-canary.76 de Next.js ou vers les versions antérieures stables. 
  • Appliquer le patch de l’éditeur via la commande : npx fix-react2shell-next

RÉFÉRENCES :

Partagez sur vos réseaux.