Origine : bjCSIRT

Numéro : 2025/ALERTE/075

Date de l’alerte : 12/12/2025 

APERÇU :

De multiples vulnérabilités affectant React Server Components permettraient à un acteur malveillant d’accéder au code source ou d’effectuer un déni de service sur les systèmes affectés. 

DESCRIPTION :

React Server Components (RSC) est une technologie clé intégrée à React qui permet d’exécuter certains composants directement sur le serveur afin d’optimiser la performance et la sécurité des applications web. RSC améliore la posture globale des applications en réduisant la quantité de code JavaScript envoyée au navigateur, en simplifiant l’accès aux données côté serveur et en limitant l’exposition des informations sensibles. 

Cette technologie est affectée par plusieurs vulnérabilités libellées comme suit :  

• CVE-2025-55183 : il s’agit d’une vulnérabilité permettant à un acteur malveillant de divulguer le code source de la plateforme affectée. Cette vulnérabilité provient d’une mauvaise gestion des composants rendus côté serveur dans RSC 

Cette vulnérabilité est classée Modérée avec un score de sévérité de 5.3 selon le CVSS v3.1. 

• CVE-2025-55184 : Il s’agit d’une vulnérabilité de type déni de service affectant les composants React Server. Cette vulnérabilité est due à une désérialisation non sécurisée des requêtes HTTP vers des points de terminaison de fonctions serveur. 

Cette vulnérabilité est classée Elevée avec un score de sévérité de 7.5 selon le CVSS V3.1. 

IMPACT :

• déni de service ; 

• Compromission de l’intégrité du système ; 

• Atteinte à la confidentialité des données ; 

• Atteinte à la disponibilité. 

SYSTÈMES AFFECTÉS : 

• les versions 19.0.0, 19.0.1, 19.0.2, 19.1.0, 19.1.1, 19.1.2, 19.2.0, 19.2.1 et 19.2.2 des packages react-server-dom-parcel, react-server-dom-webpack et react-server-dom-turbopack ; 

• Les versions 14.x de Next.js; 

• Les versions 15.0.x de Next.js; 

• Les versions 15.1.x de Next.js; 

• Les versions 15.2.x de Next.js; 

• Les versions 15.3.x de Next.js; 

• Les versions 15.4.x de Next.js; 

• Les versions 15.5.x de Next.js; 

• Les versions 15.x canary de Next.js; 

• Les versions 16.0.x de Next.js; 

• Les versions 16.x canary de Next.js 

• les versions 14.3.0-canary.77 de Next.js et les dernières versions ; 

• la version 15.0.4 de Next.js et les versions antérieures ; 

• la version 15.1.18 de Next.js et les versions antérieures ; 

• la version 15.2.5 de Next.js et les versions antérieures ; 

• la version 15.3.5 de Next.js et les versions antérieures ; 

• la version 15.4.7 de Next.js et les versions antérieures ; 

• la version 15.5.6 de Next.js et les versions antérieures ; 

• la version 16.0.6 de Next.js et les versions antérieures. 

MESURES À PRENDRE :

• Mettre à jour RSC vers les versions 19.0.3, 19.1.4, 19.2.3 ; 

• Mettre à jour Next.js vers les versions 14.2.35, 15.0.7, 15.1.11, 15.2.8, 15.3.8, 15.4.10, 15.5.9, 15.6.0-canary.60, 16.0.10, 16.1.0-canary.19 ; 

• Revenir à la version 14.3.0-canary.76 de Next.js ou vers les versions antérieures stables. 

RÉFÉRENCES :

• https://nextjs.org/blog/security-update-2025-12-11
• https://vulert.com/vuln-db/CVE-2025-55183
• https://www.cve.org/CVERecord?id=CVE-2025-55183
• https://nextjs.org/blog/security-update-2025-12-11