React

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...

Selon The Register (article de Carly Page), AWS avertit que des groupes étatiques chinois ont commencé à exploiter quelques heures après sa divulgation la faille critique « React2Shell » (CVE-2025-55182), détectée via son réseau de honeypots MadPot. L’éditeur indique avoir vu des tentatives par des clusters connus, dont Earth Lamia et Jackpot Panda, utilisant des requêtes HTTP basées sur des exploits publics. La vulnérabilité, de sévérité maximale, affecte React Server Components et des frameworks dépendants comme Next.js. Elle découle d’une désérialisation non sécurisée dans les packages côté serveur de React, permettant à un attaquant non authentifié d’envoyer une requête spécialement conçue pour obtenir une exécution de code à distance (RCE). 🐞 ...

Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante. ⚠️ Portée et impact La faille touche les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. Même si une application n’implémente pas d’endpoints Server Function, elle peut être vulnérable si elle supporte React Server Components. Les applications React sans serveur, ou sans framework/outil supportant RSC, ne sont pas affectées. Correctifs disponibles ...