Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante.

⚠️ Portée et impact

  • La faille touche les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack.
  • Même si une application n’implémente pas d’endpoints Server Function, elle peut être vulnérable si elle supporte React Server Components.
  • Les applications React sans serveur, ou sans framework/outil supportant RSC, ne sont pas affectées.

Correctifs disponibles

  • Correctifs publiés: 19.0.1, 19.1.2, 19.2.1 pour les paquets listés.
  • Fournisseurs d’hébergement: des mitigations temporaires ont été déployées, mais la recommandation est de mettre à jour immédiatement.

Frameworks et bundlers affectés

  • Affected: Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk.

Instructions de mise à jour (extraits)

  • Next.js: mettre à jour vers les versions corrigées de votre branche:
    • 15.0.x → 15.0.5
    • 15.1.x → 15.1.9
    • 15.2.x → 15.2.6
    • 15.3.x → 15.3.6
    • 15.4.x → 15.4.8
    • 15.5.x → 15.5.7
    • 16.0.x → 16.0.7
    • Si vous êtes sur 14.3.0-canary.77 ou plus récent en canary: rétrograder vers la dernière 14.x stable.
  • React Router (API RSC instables): mettre à jour si présent: react, react-dom, react-server-dom-parcel, react-server-dom-webpack, @vitejs/plugin-rsc (tous en latest).
  • Expo: react, react-dom, react-server-dom-webpack (latest).
  • Redwood SDK: s’assurer rwsdk ≥ 1.0.0-alpha.0; installer rwsdk@latest si besoin; mettre à jour react, react-dom, react-server-dom-webpack (latest).
  • Waku: react, react-dom, react-server-dom-webpack, waku (latest).
  • @vitejs/plugin-rsc: react, react-dom, @vitejs/plugin-rsc (latest).
  • react-server-dom-parcel: react, react-dom, react-server-dom-parcel (latest).
  • react-server-dom-turbopack: react, react-dom, react-server-dom-turbopack (latest).
  • react-server-dom-webpack: react, react-dom, react-server-dom-webpack (latest).

Chronologie

  • 29 nov.: vulnérabilité signalée via Meta Bug Bounty (Lachlan Davidson).
  • 30 nov.: confirmation par Meta et travail avec l’équipe React sur un correctif.
  • 1 déc.: correctif préparé; coordination avec hébergeurs et projets open source pour valider et déployer.
  • 3 déc.: correctif publié sur npm et divulgation publique sous CVE-2025-55182.

IOCs et TTPs

  • IOCs: non fournis dans l’annonce.
  • TTPs: requête HTTP malveillante exploitant un défaut de désérialisation/décodage de payload vers des endpoints React Server Function, conduisant à une exécution de code à distance non authentifiée.

Cet article est une annonce de vulnérabilité et de correctifs; son but principal est d’informer de la faille critique, des versions affectées et des mises à jour nécessaires.

🔗 Source originale : https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components