Deux nouvelles failles de sécurité dans React Server Components (RSC) viennent d’être divulguées, mettant en péril la stabilité et la confidentialité des applications React et des plateformes web basées sur ce framework. Ces vulnérabilités peuvent être exploitées pour provoquer des attaques par déni de service (DoS) ou l’exposition de code source sensible. L’impact de ces failles s’étend à travers le monde, touchant des applications et plateformes dans de nombreux pays.
La communauté de la cybersécurité et de l’informatique appelle à des mises à jour urgentes, surtout en raison d’un problème de faille précédente déjà exploitée activement, identifiée sous le nom de CVE-2025-55182, qui s’inscrit dans un historique de vulnérabilités similaires. Voici les détails sur ces nouvelles menaces et leur impact.
Introduction à la vulnérabilité
La faille de sécurité référencée sous CVE-2025-55184 met en lumière les risques majeurs auxquels sont exposées les applications web modernes utilisant les React Server Components (RSC). Cette vulnérabilité permet à un attaquant de lancer une attaque par déni de service (DoS) en exploitant une faiblesse dans la gestion des requêtes côté serveur. En envoyant une requête spécialement conçue, il est possible de saturer le serveur et de rendre l’application indisponible pour tous les utilisateurs. Ce type de faille rappelle l’importance des mises à jour régulières des composants critiques comme React et Next.js, afin de se prémunir contre les attaques de type DoS. La communauté open source joue un rôle clé dans la détection et la correction rapide de ces vulnérabilités, comme cela a été démontré lors de la découverte de la faille React2Shell (CVE-2025-55182). Les développeurs et administrateurs doivent rester vigilants et collaborer activement pour renforcer la sécurité des applications basées sur RSC et anticiper les menaces émergentes.
Des vulnérabilités critiques découvertes dans React Server Components
Des attaques DoS pré-authentification possibles
Identifiée sous le code CVE-2025-55184 avec un score CVSS de 7.5, cette première vulnérabilité permet à un attaquant de déclencher une boucle infinie en envoyant un payload malformé à des endpoints Server Function. Cette boucle paralyse le processus serveur, le rendant incapable de répondre aux requêtes HTTP suivantes. Ce comportement expose les applications réactives à une attaque par déni de service sans authentification préalable.
Un correctif incomplet qui prolonge la menace
Un second bug, CVE-2025-67779, a été identifié comme un correctif partiel de CVE-2025-55184. Il présente exactement le même impact : un blocage total des requêtes et l’effondrement des performances serveur. Ce bug est présent dans les versions suivantes du module RSC : 19.0.2, 19.1.3 et 19.2.2.
Impact de la vulnérabilité CVE 2025 55184
L’exploitation de la vulnérabilité CVE-2025-55184 peut avoir des répercussions majeures sur la disponibilité des applications web. Un déni de service réussi peut paralyser l’accès à des services essentiels, entraînant des pertes financières et une dégradation de la confiance des utilisateurs. Pour les entreprises et organisations qui s’appuient sur des solutions développées avec React et Next.js, l’indisponibilité prolongée d’une application peut également ouvrir la porte à d’autres attaques, en détournant l’attention des équipes de sécurité. Cette faille trouve son origine dans une désérialisation non sécurisée au sein du protocole React Flight, soulignant l’importance de la sécurité côté serveur dans l’architecture des applications modernes. Les versions vulnérables, notamment React 19, doivent impérativement être remplacées par des versions corrigées pour éviter tout risque d’exploitation. La gestion proactive des mises à jour et la surveillance continue des CVE sont des pratiques incontournables pour garantir la résilience des systèmes face aux attaques DoS et autres menaces liées à la vulnérabilité du code serveur.
Fuite de code source via requête HTTP
Vulnérabilité d’exposition involontaire des fonctions serveur
Répertoriée sous CVE-2025-55183 (score CVSS : 5.3), cette faille permet à un attaquant d’effectuer une fuite de données critiques sous la forme du code source de fonctions serveur. Le scénario d’exploitation repose sur une requête HTTP spécifiquement forgée qui déclenche la conversion en chaîne de caractères d’un argument exposé, rendant ainsi possible la récupération du code exécuté côté serveur.
Versions affectées et modules concernés
Les vulnérabilités CVE-2025-55184 et CVE-2025-55183 impactent les versions 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 et 19.2.1 des bibliothèques react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack ainsi que du plugin parcel rsc. Le CVE-2025-67779 quant à lui affecte les versions 19.0.2, 19.1.3 et 19.2.2.
Mise à jour immédiate recommandée pour tous les environnements de production
Versions corrigées désormais disponibles
Les mainteneurs de React ont publié des versions corrigées : 19.0.3, 19.1.4 et 19.2.3. Ces mises à jour incluent les correctifs complets pour toutes les vulnérabilités identifiées. Mettre à jour les bibliothèques, y compris react dom, dès maintenant est un impératif afin de prévenir tout risque d’exploitation, en particulier celui lié à la faille critique déjà utilisée dans la nature.
Des chercheurs en sécurité à l’origine de la découverte
Les bugs DoS ont été signalés à Meta via son programme de bug bounty par les chercheurs RyotaK et Shinsaku Nomura. Quant à la vulnérabilité d’exfiltration de code source, elle a été découverte par Andrew MacPherson. Cela montre une fois de plus l’importance de la veille continue en cybersécurité et de la collaboration entre les chercheurs et les éditeurs.
Les leçons à tirer pour les développeurs et pentesters
Audits réguliers et tests de pénétration nécessaires
Ces vulnérabilités témoignent du besoin constant de réaliser des audits de sécurité sur les composants à la fois côté serveur et côté client. Les erreurs de désérialisation ou d’exposition d’arguments peuvent rapidement devenir des portes d’entrée pour des attaques ciblées.
Se former au hacking éthique pour mieux défendre ses infrastructures
Développeurs, chercheurs en cybersécurité et responsables IT peuvent approfondir leur compréhension de ces failles en consultant notre livre pour apprendre à hacker. Ce guide offre une méthode claire pour suivre une formation en hacking et comprendre comment identifier, reproduire et corriger ce type de vulnérabilités avant qu’elles ne soient exploitées par des acteurs malveillants.
Les experts de CyberCare accompagnent les entreprises dans la détection, la correction et la prévention des vulnérabilités comme celles identifiées dans React grâce à leurs services de cybersécurité sur mesure.
