S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 décembre 2025
N° CERTFR-2025-ACT-053
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Vulnérabilité dans React Server Components

Gestion du document

Référence CERTFR-2025-ACT-053
Titre Vulnérabilité dans React Server Components
Date de la première version04 décembre 2025
Date de la dernière version04 décembre 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Exécution de code arbitraire à distance

Systèmes affectés

  • react-server-dom-webpack versions 19.0.x antérieures à 19.0.1, versions 19.1.x antérieures à 19.1.2 et versions 19.2.x antérieures à 19.2.1
  • react-server-dom-parcel versions 19.0.x antérieures à 19.0.1, versions 19.1.x antérieures à 19.1.2 et versions 19.2.x antérieures à 19.2.1
  • react-server-dom-turbopack versions 19.0.x antérieures à 19.0.1, versions 19.1.x antérieures à 19.1.2 et versions 19.2.x antérieures à 19.2.1
  • Next.js versions 14.x canary, versions 15.0.x antérieures à 15.0.5, versions 15.1.x antérieures à 15.1.9, versions 15.2.x antérieures à 15.2.6, versions 15.3.x antérieures à 15.3.6, versions 15.4.x antérieures à 15.4.8, versions 15.5.x antérieures à 15.5.7 et versions 16.0.x antérieures à 16.0.7
  • React router avec le support de l'API RSC sans les derniers correctifs de sécurité
  • Expo sans les versions correctives de react-server-dom-webpack
  • Redwood SDK versions antérieures à 1.0.0-alpha.0
  • Waku sans les versions correctives de react-server-dom-webpack
  • Vitejs avec le greffon plugin-rsc sans les derniers correctifs de sécurité

Résumé

Le 3 décembre 2025, React a publié un avis de sécurité relatif à la vulnérabilité CVE-2025-55182 affectant React Server Components et qui permet une exécution de code arbitraire à distance pour un utilisateur non-authentifié. L'éditeur de Next.js a également publié un avis de sécurité faisant référence à l'identifiant CVE-2025-66478. Cet identifiant a été rejeté en raison du doublon avec l'identifiant utilisé par React. Cette faille de sécurité est également connue sous le nom de "React2Shell".

Cette vulnérabilité concerne plus précisément les React Server Functions. Même si une application n'utilise pas explicitement de telles fonctions, elle peut être vulnérable si elle supporte les React Server Components. En particulier, plusieurs cadriciels tels que Next.js implémentent de telles fonctions par défaut.

Les technologies React Server Components et React Server Functions sont relativement récentes (la version 19 de React a été publiée fin 2024) et toutes les applications utilisant la technologie React ne sont ainsi pas nécessairement affectées. Veuillez vous référer à la section systèmes affectés pour plus d'informations.

En date du 4 décembre 2025 à 10h, le CERT-FR n'a pas connaissance de preuve de concept publique permettant d'exploiter cette vulnérabilité sur la majorité des applications utilisant une version vulnérable React ou de Next.js. Cependant, le CERT-FR anticipe la publication d'une telle preuve de concept dans les heures ou les jours à venir.

Le CERT-FR recommande donc de mettre à jour au plus vite les composants vers les versions correctives listées dans les avis éditeurs (cf. section Documentation).

Note : Le CERT-FR a connaissance de la mise en place de règles de blocages de la vulnérabilité au niveau de plusieurs pare-feu applicatifs web populaires. Bien que ces mécanismes puissent rendre l'exploitation de la vulnérabilité plus difficile, ils ne peuvent pas remplacer une mise à jour vers une version corrective.

Documentation

Gestion détaillée du document

    le 04 décembre 2025
    Version initiale