Next.js RSC : détection fiable d’une RCE (CVE-2025-55182 & CVE-2025-66478)
Selon Searchlight Cyber (billet de recherche, 4 décembre 2025), une vulnérabilité de type RCE affectant Next.js en configuration par défaut via React Server Components (RSC) fait l’objet de nombreux PoC erronés, et l’équipe publie un test réseau précis pour confirmer la présence du défaut. ⚠️ Contexte et portée: L’avis du jour signale une exécution de code à distance (RCE) exploitable sans prérequis sur des applications Next.js utilisant RSC. Les auteurs soulignent que se contenter de détecter la présence de RSC n’est pas suffisant pour conclure à la vulnérabilité et que plusieurs PoC GitHub ne reflètent pas l’exploit réellement communiqué aux mainteneurs (référence à react2shell.com). ...