Le 3 décembre 2025, une vulnérabilité critique dans les Composants du serveur React et le projet qui en découle Cadre Next.js a été publiée. La faille de sécurité permet une Exécution de code à distance (RCE), La vulnérabilité est une faille de sécurité qui permet d'exécuter du code arbitraire sur les serveurs concernés et qui concerne potentiellement des milliers d'applications web dans le monde. Particulièrement dangereuse, la faille peut non authentifié et être exploité à distance.
Environ 40% de tous les environnements en nuage pourraient concerné être.
Aujourd'hui, à peine deux jours plus tard, une attaque massive a eu lieu panne globale chez Cloudflare. Des services tels que LinkedIn, Zoom, Anthropic et bien d'autres étaient temporairement inaccessibles. La raison : Cloudflare avait désactivé les fonctions de journalisation internes afin de réagir à la faille de sécurité React. Cela a entraîné un effet domino au sein de leur infrastructure.
La vulnérabilité a été identifiée par des chercheurs en sécurité et des plateformes telles que Wiz.io le surnom „React2Shell“. Le score CVSS est de 10.0, la criticité maximale possible.
Composants du serveur React (RSC) permettent un rendu côté serveur des composants React. Un protocole de transmission interne appelé „Flight“ est utilisé à cet effet. Les chercheurs en sécurité ont découvert que les attaquants pouvaient déclencher des processus de désérialisation non sécurisés via des charges utiles manipulées. Résultat : n'importe quel code peut être exécuté sur le serveur cible.
Les paquets React suivants sont notamment concernés :
Les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 de ces paquets sont notamment concernées. L'ID CVE officiel pour React est le suivant CVE-2025-55182.
Comme le populaire framework web Next.js à partir de la version 13, s'appuie par défaut sur React Server Components (RSC), de nombreuses applications Next.js sont également vulnérables. La faille Next.js a été identifiée séparément en tant que CVE-2025-66478 a été menée.
Sont notamment concernées toutes les versions avec l'option App Routeur, principalement des versions majeures 15.x et 16.x. Les versions expérimentales „Canary“ sont également concernées.
Les responsables de Next.js déconseillent fortement de se fier aux paramètres de configuration, car il existe pas de bouton de désactivation du comportement dangereux. Une mise à jour est absolument nécessaire.
La faille permet aux pirates d'exécuter du code arbitraire sur le serveur - sans authentification. Les scénarios suivants sont donc envisageables, entre autres :
C'est particulièrement critique pour les plates-formes SaaS accessibles au public, les portails web, les passerelles API et les fronts clients.
Outre React et Next.js, d'autres frameworks et toolchains peuvent être concernés s'ils utilisent des composants React Server. Il s'agit notamment de
Le fait que vos systèmes soient concernés dépend en grande partie de l'utilisation ou non de fonctionnalités React RSC ou de frameworks basés sur ces fonctionnalités dans la production.
Les équipes React et Next.js ont déjà Mises à jour de sécurité publié :
Mesures recommandées :
1. faire l'inventaire de vos applications web
2. identifier les versions de React et Next.js concernées
3. mettre à jour vers les versions corrigées
4. vérifier les journaux du serveur pour voir s'il y a des activités suspectes (par exemple, des charges utiles POST inhabituelles)
5. ajoutez des mécanismes de protection supplémentaires : par exemple des pare-feu d'applications web (WAF), IDS/IPS
Avec le Gestion de la surface d'attaque externe de LocateRisk les entreprises détectent automatiquement si les systèmes accessibles au public sont affectés par des vulnérabilités connues, telles que les failles de sécurité. CVE-2025-55182, sont concernés.
La plateforme analyse votre surface d'attaque externe et vous informe des nouvelles CVE, des vecteurs d'attaque potentiels et des erreurs de configuration. Le temps de réaction essentiel aux failles de sécurité critiques comme React2Shell peut ainsi être réduit de manière drastique.
Grâce à la priorisation intégrée, à l'évaluation des risques et aux rapports automatisés, les équipes informatiques et la direction gardent toujours une vue d'ensemble. Même dans les situations exceptionnelles.
Français 
Deutsch 
English