Picus Security détaille des vulnérabilités RCE critiques dans l'écosystème React.js

La société de cybersécurité Picus Security a détaillé deux vulnérabilités critiques, CVE-2025-55182 et CVE-2025-66478, qui affectent l'écosystème des React Server Components (RSC). Ces vulnérabilités, toutes deux portant un score CVSS de 10.0 (Critique), permettent l'exécution de code à distance (RCE) en exploitant une faille dans la désérialisation des données.

L'écosystème RSC affecté comprend les packages React centraux et les frameworks tels que React 19, react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack et Next.js. Les vulnérabilités proviennent du protocole Flight, utilisé par RSC pour le transport de données. Lorsqu'un client envoie des données au serveur via le protocole Flight, le processus par lequel React décode ces données est susceptible d'attaques.

Selon l'analyse de Picus Security, un attaquant peut créer une entrée malveillante dans la charge utile, entraînant une pollution de prototype ("prototype pollution") sur le serveur. Cela permet aux attaquants de contrôler les chemins d'exécution et d'obtenir une exécution de code à distance non authentifiée. L'exploitation nécessite l'envoi d'une requête HTTP spécialement conçue à un point de terminaison Server Function. De manière cruciale, en raison des configurations par défaut, la vulnérabilité affecte les applications même sans points de terminaison Server Function explicitement définis.

CVE-2025-55182 affecte les composants React clés (versions 19.0, 19.1.0, 19.1.1 et 19.2.0), tandis que CVE-2025-66478 cible des versions spécifiques de Next.js (15.x, 16.x et les versions canary 14.3.0-canary.77 et ultérieures). Il est fortement conseillé aux organisations utilisant ces technologies d'appliquer sans délai les correctifs publiés pour atténuer les risques de sécurité.