React/Next.js

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...