Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante.
🔗 Source originale : https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Article intéressant sur la détection: Next.js RSC : détection fiable d’une RCE (CVE-2025-55182 & CVE-2025-66478)
🔗 Source originale : https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/
Sur le même sujet:
Les développeurs pressés de mettre à jour React et Next.js
Une faille critique dans la bibliothèque React a été corrigée et les développeurs sont invités à l’actualiser rapidement ainsi que le framework Next.js. Une urgence similaire à la vulnérabilité Log4j prévient un expert.