Next.js

Dans un billet technique publié le 14 janvier 2026, l’auteur détaille une méthode permettant à un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnérabilité React2Shell (CVE-2025-55182). Le contexte décrit que l’exploitation de React2Shell peut laisser très peu de traces et permettre à un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clé pour chiffrer et authentifier les cookies de session. ...

Selon HackRead, le groupe de hackers RondoDox exploite la vulnérabilité React2Shell dans Next.js pour mener des attaques à grande échelle. 🚨 Nature de l’attaque: Exploitation active d’une faille baptisée React2Shell au sein de Next.js par le groupe RondoDox. 📈 Impact: Plus de 90 000 appareils sont visés, incluant des routeurs, des caméras intelligentes et des sites web de petites entreprises. 🧩 Vecteur: L’attaque repose sur l’exploitation de la faille React2Shell dans le framework Next.js. ...

Selon GreyNoise Research (blog), dans un article du 17 décembre 2025, l’équipe a étudié plus de 50 000 payloads liés à la campagne React2Shell ciblant des React Server Components et a analysé leur taille, style et logique pour déterminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majorité des tentatives (150–400/200–500 octets) sont du bruit automatisé (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≥1 000 octets) correspond à des charges utiles réelles (ex. crypto-mining, DoS, persistence, élimination de concurrents). Un « middle messy » reflète des variantes de botnets IoT (Mirai) avec des clusters hétérogènes. ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...

Source: Blog personnel de Jake Saunders. Contexte: l’auteur reçoit un abus report de son hébergeur Hetzner signalant du scanning réseau sortant; il découvre que son instance Umami (analytics) a été compromis via une faille Next.js récemment divulguée. L’incident démarre par un email d’abus Hetzner signalant du scanning vers une plage d’IP en Thaïlande. Sur le serveur (hébergé chez Hetzner et orchestré avec Coolify), l’auteur observe une charge CPU anormale et des processus de minage (xmrig) tournant en tant qu’utilisateur UID 1001. L’investigation montre la présence d’un dossier xmrig-6.24.0 à l’emplacement interne de Next.js dans le conteneur Umami, avec une commande pointant vers un pool Monero. ⛏️ ...

Source: S-RM — Dans un rapport d’incident, S-RM décrit l’exploitation de la vulnérabilité critique React2Shell (CVE-2025-55182) comme vecteur d’accès initial menant au déploiement du ransomware Weaxor. Ce cas marque la première observation par S-RM de l’usage de cette faille par des acteurs à but financier pour de l’extorsion, élargissant l’impact connu au-delà des backdoors et crypto‑miners. Vulnérabilité: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exécution de code à distance non authentifiée via une requête HTTP malveillante, avec exécution sous l’utilisateur du processus serveur. Gravité CVSS 10.0, exploitation aisée et propice à l’automatisation 🚨. ...

Une publication technique décrit en détail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisées notamment par Next.js) due à des références de prototype non sécurisées lors de la désérialisation du protocole React Flight. — Contexte et cause racine — La désérialisation des “chunks” du protocole React Flight ne vérifiait pas, jusqu’à un commit correctif de React, si la clé demandée appartenait réellement à l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des références croisées entre chunks (dont la syntaxe spéciale pour récupérer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — Chaîne d’exploitation (vue d’ensemble) 🚨 — ...

Source et contexte: GreyNoise publie exceptionnellement un brief « At The Edge » ouvert au public (mise à jour au 8 décembre 2025) sur l’exploitation opportuniste de CVE-2025-55182 (« React2Shell »), une RCE non authentifiée affectant le protocole Flight des React Server Components et des écosystèmes en aval comme Next.js, avec des correctifs déjà disponibles. GreyNoise observe une exploitation rapide post-divulgation et un volume stable d’attaques. Au 2025‑12‑08, 362 IPs uniques ont tenté l’exploitation ; 152 (≈42 %) comportaient des charges actives analysables. Les sources sont géographiquement variées, reflétant à la fois botnets et acteurs plus outillés. L’infrastructure est majoritairement « fraîche » (vue après juillet 2025), avec près de 50 % des IPs observées pour la première fois en décembre 2025. ...

Source: cyble.com — Dans un billet du 8 décembre 2025, Cyble décrit l’exploitation ultra-rapide de la vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components, avec des groupes liés à la Chine actifs quelques heures après la divulgation publique. • Vulnérabilité et portée: CVE-2025-55182 (React2Shell) permet une RCE non authentifiée (CVSS 10.0) via un défaut de désérialisation non sûre dans le protocole React Server Components Flight. Elle touche React 19.x et Next.js 15.x/16.x (App Router), et a été ajoutée au catalogue KEV de la CISA. Cyble précise que les paquets affectés incluent: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sur React 19.0.0–19.2.0, corrigés en 19.0.1, 19.1.2 et 19.2.1. Next.js est aussi concerné via CVE-2025-66478 (versions: à partir de 14.3.0-canary.77, toutes 15.x non corrigées, et 16.x < 16.0.7). ...

Selon The Register (article de Carly Page), AWS avertit que des groupes étatiques chinois ont commencé à exploiter quelques heures après sa divulgation la faille critique « React2Shell » (CVE-2025-55182), détectée via son réseau de honeypots MadPot. L’éditeur indique avoir vu des tentatives par des clusters connus, dont Earth Lamia et Jackpot Panda, utilisant des requêtes HTTP basées sur des exploits publics. La vulnérabilité, de sévérité maximale, affecte React Server Components et des frameworks dépendants comme Next.js. Elle découle d’une désérialisation non sécurisée dans les packages côté serveur de React, permettant à un attaquant non authentifié d’envoyer une requête spécialement conçue pour obtenir une exécution de code à distance (RCE). 🐞 ...