S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 décembre 2025
N° CERTFR-2025-ALE-014
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans React Server Components

Gestion du document

Référence CERTFR-2025-ALE-014
Titre Vulnérabilité dans React Server Components
Date de la première version05 décembre 2025
Date de la dernière version05 décembre 2025
Source(s) Billet de blogue React relatif à la vulnérabilité CVE-2025-55182 du 03 décembre 2025
Billet de blogue Vercel relatif à la vulnérabilité CVE-2025-55182 du 03 décembre 2025
Bulletin de sécurité Facebook CVE-2025-55182 du 03 décembre 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Expo sans les versions correctives de react-server-dom-webpack
  • Next.js versions 14.x canary
  • Next.js versions 15.0.x antérieures à 15.0.5
  • Next.js versions 15.1.x antérieures à 15.1.9
  • Next.js versions 15.2.x antérieures à 15.2.6
  • Next.js versions 15.3.x antérieures à 15.3.6
  • Next.js versions 15.4.x antérieures à 15.4.8
  • Next.js versions 15.5.x antérieures à 15.5.7
  • Next.js versions 16.0.x antérieures à 16.0.7
  • React router avec le support de l'API RSC sans les derniers correctifs de sécurité
  • react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.0.x antérieures à 19.0.1
  • react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.1.x antérieures à 19.1.2
  • react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.2.x antérieures à 19.2.1
  • Redwood SDK versions antérieures à 1.0.0-alpha.0
  • Vitejs avec le greffon plugin-rsc sans les derniers correctifs de sécurité
  • Waku sans les versions correctives de react-server-dom-webpack

Résumé

Le 3 décembre 2025, React a publié un avis de sécurité relatif à la vulnérabilité CVE-2025-55182 affectant React Server Components et qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. L'éditeur de Next.js a également publié un avis de sécurité faisant référence à l'identifiant CVE-2025-66478. Cet identifiant a été rejeté en raison du doublon avec l'identifiant utilisé par React. Cette faille de sécurité est également connue sous le nom de React2Shell.

Cette vulnérabilité concerne plus précisément les React Server Functions. Même si une application n'utilise pas explicitement de telles fonctions, elle peut être vulnérable si elle supporte les React Server Components. En particulier, plusieurs cadriciels tels que Next.js implémentent de telles fonctions par défaut.

Les technologies React Server Components et React Server Functions sont relativement récentes (la version 19 de React a été publiée fin 2024) et toutes les applications utilisant la technologie React ne sont ainsi pas nécessairement affectées. Veuillez vous référer à la section systèmes affectés pour plus d'informations.

Le CERT-FR a connaissance de preuves de concept publiques pour cette vulnérabilité et anticipe des exploitations en masse.

Note : Le CERT-FR a connaissance de la mise en place de règles de blocages de la vulnérabilité au niveau de plusieurs pare-feu applicatifs web populaires. Bien que ces mécanismes puissent rendre l'exploitation de la vulnérabilité plus difficile, ils ne peuvent pas remplacer une mise à jour vers une version corrective.

Solutions

Le CERT-FR recommande de mettre à jour au plus vite les composants vers les versions correctives listées dans les avis éditeurs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 décembre 2025
    Version initiale