Deux nouvelles failles de sécurité dans React Server Components (RSC) viennent d’être divulguées, mettant en péril la stabilité et la confidentialité des applications web basées sur React. Ces vulnérabilités peuvent être exploitées pour provoquer des attaques par déni de service (DoS) ou l’exposition de code source sensible. La communauté de la cybersécurité appelle à des mises à jour urgentes, surtout en raison d’une faille précédente déjà exploitée activement, identifiée sous le nom de CVE-2025-55182. Voici les détails sur ces nouvelles menaces et leur impact.
Des vulnérabilités critiques découvertes dans React Server Components
Des attaques DoS pré-authentification possibles
Identifiée sous le code CVE-2025-55184 avec un score CVSS de 7.5, cette première vulnérabilité permet à un attaquant de déclencher une boucle infinie en envoyant un payload malformé à des endpoints Server Function. Cette boucle paralyse le processus serveur, le rendant incapable de répondre aux requêtes HTTP suivantes. Ce comportement expose les applications réactives à une attaque par déni de service sans authentification préalable.
Un correctif incomplet qui prolonge la menace
Un second bug, CVE-2025-67779, a été identifié comme un correctif partiel de CVE-2025-55184. Il présente exactement le même impact : un blocage total des requêtes et l’effondrement des performances serveur. Ce bug est présent dans les versions suivantes du module RSC : 19.0.2, 19.1.3 et 19.2.2.
Fuite de code source via requête HTTP
Vulnérabilité d’exposition involontaire des fonctions serveur
Répertoriée sous CVE-2025-55183 (score CVSS : 5.3), cette faille permet à un attaquant d’effectuer une fuite de données critiques sous la forme du code source de fonctions serveur. Le scénario d’exploitation repose sur une requête HTTP spécifiquement forgée qui déclenche la conversion en chaîne de caractères d’un argument exposé, rendant ainsi possible la récupération du code exécuté côté serveur.
Versions affectées et modules concernés
Les vulnérabilités CVE-2025-55184 et CVE-2025-55183 impactent les versions 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 et 19.2.1 des bibliothèques react-server-dom-parcel, react-server-dom-turbopack et react-server-dom-webpack. Le CVE-2025-67779 quant à lui affecte les versions 19.0.2, 19.1.3 et 19.2.2.
Mise à jour immédiate recommandée pour tous les environnements de production
Versions corrigées désormais disponibles
Les mainteneurs de React ont publié des versions corrigées : 19.0.3, 19.1.4 et 19.2.3. Ces mises à jour incluent les correctifs complets pour toutes les vulnérabilités identifiées. Mettre à jour les bibliothèques dès maintenant est un impératif afin de prévenir tout risque d’exploitation, en particulier celui lié à la faille critique déjà utilisée dans la nature.
Des chercheurs en sécurité à l’origine de la découverte
Les bugs DoS ont été signalés à Meta via son programme de bug bounty par les chercheurs RyotaK et Shinsaku Nomura. Quant à la vulnérabilité d’exfiltration de code source, elle a été découverte par Andrew MacPherson. Cela montre une fois de plus l’importance de la veille continue en cybersécurité et de la collaboration entre les chercheurs et les éditeurs.
Les leçons à tirer pour les développeurs et pentesters
Audits réguliers et tests de pénétration nécessaires
Ces vulnérabilités témoignent du besoin constant de réaliser des audits de sécurité sur les composants à la fois côté serveur et côté client. Les erreurs de désérialisation ou d’exposition d’arguments peuvent rapidement devenir des portes d’entrée pour des attaques ciblées.
Se former au hacking éthique pour mieux défendre ses infrastructures
Développeurs, chercheurs en cybersécurité et responsables IT peuvent approfondir leur compréhension de ces failles en consultant notre livre pour apprendre à hacker. Ce guide offre une méthode claire pour apprendre le hacking et comprendre comment identifier, reproduire et corriger ce type de vulnérabilités avant qu’elles ne soient exploitées par des acteurs malveillants.
Les experts de CyberCare accompagnent les entreprises dans la détection, la correction et la prévention des vulnérabilités comme celles identifiées dans React grâce à leurs services de cybersécurité sur mesure.
