Vulnérabilité critique dans React Server Component

Produits concernés

• Applications utilisant le framework React

Prérequis

• Accès à l’application utilisant le framework React, Next.js ou autre framework utilisant React

• Support de la fonctionnalité React Server Components

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Déploiement de malware sur l’actif

• Fuite de données

Résumé

React a publié un avis de sécurité le 3 décembre 2025 afin d’informer de la CVE-2025-55182. La CVE a un score de 10, la note maximale.

Cette vulnérabilité permet à un attaquant non authentifié d’envoyer une requête spécifiquement créée afin que l’application utilisant le framework React reçoive du code arbitraire. Une fois reçue, le code malveillant sera exécuté sur le serveur et l’attaquant pourra ainsi y accéder

L’exploitation de cette CVE pourrait permettre à l’attaquant de compromettre le site web en y installant des malwares, d’exfiltrer les secrets présents sur l’application et le serveur, les données sensibles contenues dans l’application ou les bases de données liées telles que les comptes d’utilisateurs. Il pourra également tenter de rebondir sur le reste du SI.

Il est important de noter que de nombreuses applications ou librairies utilisent React en arrière-plan. Il est déjà possible d’énumérer les suivantes :

• Next.js : La CVE-2025-66478 a été assignée par l’éditeur

• Vite RSC plugin

• Parcel RSC plugin

• React Router RSC preview

• RedwoodSDK

• Waku

Cette liste n’est pas exhaustive et de nombreuses autres applications seront détectées comme vulnérables dans les jours à venir. De plus, cette librairie étant packagée dans les applications, les outils de détection de vulnérabilité ne seront pas toujours en mesure de détecter correctement la vulnérabilité.Il est donc important de vérifier avec les éditeurs d’applications web si ces dernières utilisent ou non le framework React.

Les éditeurs Cloudflare, Fastly, AWS et Google ont mis en place des mesure de mitigation en créant des règles de WAF, nous vous invitons à vérifier leur mise en œuvre.

A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants. Des exploits sont déjà publiquement disponibles.La simplicité d’exécution de la vulnérabilité laisse peu de doute quant à des exploitations malveillantes. Il est attendu que les premières exploitations arrivent dans les heures à venir.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur sur Internet.En attendant l’application d’une remédiation, il est également recommandé de mettre en place des mitigations via des règles de WAF.

Solutions

Remédiation :

Mettre à jour les packages ou applications en version non vulnérable:

• react-server-dom*: 19.0.1, 19.1.2, and 19.2.1

• Next.js: 14.3.0-canary, 15.x, and 16.x (App Router):14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

Pour les autres frameworks et bundlers impactés (tels que Waku, React Router, Expo, Redwood SDK, @vitejs/plugin-rsc,etc.), nous recommandons de mettre à jour tous les packages liés aux RSC vers leur dernière version (latest).

Détails des instructions et commandes spécifiques disponibles dans la documentation officielle de React : https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Mitigation :

Mise en place d’une règle de WAF en frontal des applications web vulnérables.

Il est à noter que la mise en place de règles WAF ne permet qu’une protection partielle et que des attaquants pourront être à même de passer outre ces règles de WAF.