Faille de gravité maximale découverte dans React, des correctifs à installer en urgence

Waf ! Waf !

Un chercheur a découvert dans le composant React Server Components une faille dont le score de gravité CVSS atteint la note maximale de 10. Des correctifs ont été rapidement publiés et il est recommandé de mettre à jour les applications et autres composants concernés le plus rapidement possible.

Vincent Hermann

Le 05 décembre 2025 à 14h20

3 min

Sécurité

Dans une note publiée le 3 décembre, la fondation React a averti d’une faille extrêmement critique dans le framework (cadriciel) React Server Components. Estampillée CVE-2025-55182, elle a reçu la plus grande note possible au score CVSS, soit 10.

Dans son billet de blog, la fondation indique que le signalement de la faille a été fait le 29 novembre par le chercheur Lachlan Davidson. Elle réside dans les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des composants suivants : react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack.

Exploitée, la faille peut permettre l’exécution de commandes arbitraires à distance. Elle a même reçu un nom : React2 S hell. Initialement, deux failles avaient été signalées. La seconde, dans Node.js et numérotée CVE-2025-66478, a cependant été rejetée par le NIST américain, car il s’agissait finalement du même mécanisme.

Une grande facilité d’exploitation

Selon la société Wiz qui s’est penchée sur la question, une grosse partie du problème tient à l’exploitation particulièrement simple de cette faille, faisant exploser son score CVSS. Deux composantes sont mises en avant : la faille est exploitable dans toutes les configurations, et il ne suffit que d’une requête HTTP spécialement conçue pour déclencher la suite.

La société explique qu’il s’agit d’un cas de désérialisation logique. Il découle de la manière dont les React Server Components (RSC) gèrent les requêtes. Une personne non authentifiée pourrait ainsi créer une requête HTTP malveillante à n’importe quel point de terminaison Server Function qui, au moment où React s’occupe de la désérialisation, entraine l’exécution d’un code JavaScript arbitraire sur le serveur.

Dans son billet, la fondation React n’en dit pas plus, car elle explique attendre une diffusion plus importante des correctifs avant de donner plus de détails.

Toute bibliothèque utilisant RSC (comme Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS, ou encore Waku) est concernée par la faille et il faut donc surveiller l’arrivée de mises à jour, déjà publiées dans de nombreux cas. « La vulnérabilité affecte les configurations par défaut du framework, ce qui signifie que les déploiements standards sont immédiatement exploitables sans conditions particulières », indique la société de sécurité Endor Labs.

Que faire ?

L’urgence est d’appliquer les nouvelles versions 19.0.1, 19.1.2 et 19.2.1 des trois composants react-server-dom. Jusqu’à ce qu’ils puissent être déployés, il est conseillé d’appliquer des règles WAF (Web Application Firewall).

Plusieurs entreprises de premier plan ont d’ailleurs réagi à ce sujet. Cloudflare a annoncé dès le 3 décembre avoir mis à jour son WAF pour protéger ses clients. L’éditeur ajoute que même si les nouvelles règles bloquent les éventuelles attaques, il reste recommandé de mettre à jour aussi vite que possible les composants logiciels concernés.

Même son de cloche chez Google pour sa Cloud Armor, qui décrit les nouvelles règles du pare-feu applicatif comme une mesure temporaire d’atténuation. On retrouve les mêmes éléments de langage chez Akamai et AWS.

Commentaires (7)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

potn Premium

Le 05/12/2025 à 15h23

Mais pourquoi l'équipe de React n'envoie pas à tous les serveurs React un script de mise à jour via une exploitation de la faille ? Où va le monde ?

fdorin Premium

Le 05/12/2025 à 15h50

Pas si nawak que ça. Cela a déjà été fait par le passé. Le ver Welchia par exemple, qui exploitait la même faille que Blaster, se répandait en corrigeant la faille (et en éliminant Blaster au passage).

On a eu aussi un grey hat qui avait "piraté" des routeurs MicroTik pour rajouter des règles de firewall, afin de les... sécuriser !

potn Premium

Le 05/12/2025 à 16h05

Oui, mais de là à ce que l'équipe de React le fasse officiellement, il y a un (petit) monde.

Trapklap Premium

Le 05/12/2025 à 16h27

Merci pour ces deux anecdotes qui m'étaient sorties de l'esprit.

Tharamac Premium

Le 07/12/2025 à 16h36

Il me semble aussi que certaines équipes avaient piraté des objets connectés (principalement des caméras si je me souviens bien) pour empêcher leur piratage par d'autres personnes moins bien intentionnées et que ça se termine en réseau de botnet pour des DDOS.

Et il y a aussi d'autres virus & cie qui patchent certaines failles de sécu pour empêcher d'autres infections de se produire, mais cette fois-ci pour surtout garder pour "eux" les ressources des machines piratées.

127.0.0.1

Modifié le 05/12/2025 à 17h38

Cloudflare a annoncé dès le 3 décembre avoir mis à jour son WAF pour protéger ses clients

Ce qui a entrainé un crash de Cloudflare :)
Heureusement vite corrigé.

anagrys Premium

Modifié le 08/12/2025 à 10h45

Tout doucement, ça devient une habitude