Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Expo sans les versions correctives de react-server-dom-webpack
- Next.js versions 14.x canary
- Next.js versions 15.0.x antérieures à 15.0.5
- Next.js versions 15.1.x antérieures à 15.1.9
- Next.js versions 15.2.x antérieures à 15.2.6
- Next.js versions 15.3.x antérieures à 15.3.6
- Next.js versions 15.4.x antérieures à 15.4.8
- Next.js versions 15.5.x antérieures à 15.5.7
- Next.js versions 16.0.x antérieures à 16.0.7
- React router avec le support de l'API RSC sans les derniers correctifs de sécurité
- react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.0.x antérieures à 19.0.1
- react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.1.x antérieures à 19.1.2
- react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.2.x antérieures à 19.2.1
- Redwood SDK versions antérieures à 1.0.0-alpha.0
- Vitejs avec le greffon plugin-rsc sans les derniers correctifs de sécurité
- Waku sans les versions correctives de react-server-dom-webpack
Résumé
Le 3 décembre 2025, React a publié un avis de sécurité relatif à la vulnérabilité CVE-2025-55182 affectant React Server Components et qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. L'éditeur de Next.js a également publié un avis de sécurité faisant référence à l'identifiant CVE-2025-66478. Cet identifiant a été rejeté en raison du doublon avec l'identifiant utilisé par React. Cette faille de sécurité est également connue sous le nom de React2Shell.
Cette vulnérabilité concerne plus précisément les React Server Functions. Même si une application n'utilise pas explicitement de telles fonctions, elle peut être vulnérable si elle supporte les React Server Components. En particulier, plusieurs cadriciels tels que Next.js implémentent de telles fonctions par défaut.
Les technologies React Server Components et React Server Functions sont relativement récentes (la version 19 de React a été publiée fin 2024) et toutes les applications utilisant la technologie React ne sont ainsi pas nécessairement affectées. Veuillez vous référer à la section systèmes affectés pour plus d'informations.
Solutions
ICOSNET recommande de mettre à jour au plus vite les composants vers les versions correctives listées ci-dessous :
- Billet de blogue React relatif à la vulnérabilité CVE-2025-55182 du 03 décembre 2025
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components - Billet de blogue Vercel relatif à la vulnérabilité CVE-2025-55182 du 03 décembre 2025
https://vercel.com/changelog/cve-2025-55182 - Bulletin de sécurité Facebook CVE-2025-55182 du 03 décembre 2025
https://www.facebook.com/security/advisories/cve-2025-55182 - Référence CVE CVE-2025-55182
https://www.cve.org/CVERecord?id=CVE-2025-55182 - Référence CVE CVE-2025-66478
https://www.cve.org/CVERecord?id=CVE-2025-66478