{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Expo sans les versions correctives de react-server-dom-webpack","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Redwood SDK versions ant\u00e9rieures \u00e0 1.0.0-alpha.0","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Next.js versions 15.0.x ant\u00e9rieures \u00e0 15.0.5","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"Waku sans les versions correctives de react-server-dom-webpack","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Next.js versions 15.1.x ant\u00e9rieures \u00e0 15.1.9","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"Next.js versions 15.5.x ant\u00e9rieures \u00e0 15.5.7","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.2.x ant\u00e9rieures \u00e0 19.2.1","product":{"name":"React","vendor":{"name":"Meta","scada":false}}},{"description":"Next.js versions 14.x canary","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"Next.js versions 15.3.x ant\u00e9rieures \u00e0 15.3.6","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"React router avec le support de l'API RSC sans les derniers correctifs de s\u00e9curit\u00e9","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.0.x ant\u00e9rieures \u00e0 19.0.1","product":{"name":"React","vendor":{"name":"Meta","scada":false}}},{"description":"Next.js versions 15.4.x ant\u00e9rieures \u00e0 15.4.8","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack versions 19.1.x ant\u00e9rieures \u00e0 19.1.2","product":{"name":"React","vendor":{"name":"Meta","scada":false}}},{"description":"Next.js versions 16.0.x ant\u00e9rieures \u00e0 16.0.7","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}},{"description":"Vitejs avec le greffon plugin-rsc sans les derniers correctifs de s\u00e9curit\u00e9","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Next.js versions 15.2.x ant\u00e9rieures \u00e0 15.2.6","product":{"name":"Next.js","vendor":{"name":"Vercel","scada":true}}}],"affected_systems_content":"","closed_at":"2026-02-12","content":"## Solutions\n\nLe CERT-FR recommande de mettre \u00e0 jour au plus vite les composants vers les versions correctives list\u00e9es dans les avis \u00e9diteurs (cf. section Documentation). ","cves":[{"name":"CVE-2025-55182","url":"https://www.cve.org/CVERecord?id=CVE-2025-55182"},{"name":"CVE-2025-66478","url":"https://www.cve.org/CVERecord?id=CVE-2025-66478"}],"links":[{"title":"[2] Billet de Blogue de Huntress, analyse et indicateurs de compromission","url":"https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell"},{"title":"Bulletin d'actualit\u00e9 CERTFR-2025-ACT-053 du 04 d\u00e9cembre 2025","url":"https://cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-053/"},{"title":"[1] Billet de Blogue de Wiz.io, analyse et indicateurs de compromission ","url":"https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive"},{"title":"Compromission syst\u00e8me - Qualification","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/"},{"title":"Compromission syst\u00e8me - Endiguement","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/"}],"reference":"CERTFR-2025-ALE-014","revisions":[{"description":"Version initiale","revision_date":"2025-12-05T00:00:00.000000"},{"description":"connaissance d'exploitations pour la vuln\u00e9rabilit\u00e9 CVE-2025-55182","revision_date":"2025-12-08T00:00:00.000000"},{"description":"Recherche de compromission, r\u00e9f\u00e9rences des fiches syst\u00e8me de qualification et endiguement","revision_date":"2025-12-11T00:00:00.000000"},{"description":"     Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2026-02-12T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"**<span class=\"important-content\">[Mise \u00e0 jour du 11 d\u00e9cembre 2025]</span>**\n\nLe CERT-FR a connaissance de multiples exploitations de la vuln\u00e9rabilit\u00e9 CVE-2025-55182. Les serveurs avec une version vuln\u00e9rable expos\u00e9s apr\u00e8s la publication des preuves de concept publiques du 5 d\u00e9cembre 2025 doivent \u00eatre consid\u00e9r\u00e9s comme compromis.\n\nCertains billets de blogues [1] [2] incluent des indicateurs de compromission. Ces indicateurs n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.\n\n\n**[Mise \u00e0 jour du 08 d\u00e9cembre 2025]**\n\nLe CERT-FR a connaissance d'exploitations pour la vuln\u00e9rabilit\u00e9 CVE-2025-55182.\n\n**[Publication initiale]**\n\nLe 3 d\u00e9cembre 2025, React a publi\u00e9 un avis de s\u00e9curit\u00e9 relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-55182 affectant React Server Components et qui permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance. L'\u00e9diteur de Next.js a \u00e9galement publi\u00e9 un avis de s\u00e9curit\u00e9 faisant r\u00e9f\u00e9rence \u00e0 l'identifiant CVE-2025-66478. Cet identifiant a \u00e9t\u00e9 rejet\u00e9 en raison du doublon avec l'identifiant utilis\u00e9 par React. Cette faille de s\u00e9curit\u00e9 est \u00e9galement connue sous le nom de *React2Shell*. \n\nCette vuln\u00e9rabilit\u00e9 concerne plus pr\u00e9cis\u00e9ment les React Server Functions. M\u00eame si une application n'utilise pas explicitement de telles fonctions, elle peut \u00eatre vuln\u00e9rable si elle supporte les React Server Components. En particulier, plusieurs cadriciels tels que Next.js impl\u00e9mentent de telles fonctions par d\u00e9faut. \n\nLes technologies React Server Components et React Server Functions sont relativement r\u00e9centes (la version 19 de React a \u00e9t\u00e9 publi\u00e9e fin 2024) et toutes les applications utilisant la technologie React ne sont ainsi pas n\u00e9cessairement affect\u00e9es. Veuillez vous r\u00e9f\u00e9rer \u00e0 la section syst\u00e8mes affect\u00e9s pour plus d'informations.\n\nLe CERT-FR a connaissance de preuves de concept publiques pour cette vuln\u00e9rabilit\u00e9 et anticipe des exploitations en masse.\n\n*Note : Le CERT-FR a connaissance de la mise en place de r\u00e8gles de blocages de la vuln\u00e9rabilit\u00e9 au niveau de plusieurs pare-feu applicatifs web populaires. Bien que ces m\u00e9canismes puissent rendre l'exploitation de la vuln\u00e9rabilit\u00e9 plus difficile, ils ne peuvent pas remplacer une mise \u00e0 jour vers une version corrective.* ","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans React Server Components","vendor_advisories":[{"published_at":"2025-12-03","title":"Billet de blogue React relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-55182","url":"https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components"},{"published_at":"2025-12-03","title":"Billet de blogue Vercel relatif \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2025-55182","url":"https://vercel.com/changelog/cve-2025-55182"},{"published_at":"2025-12-03","title":"Bulletin de s\u00e9curit\u00e9 Facebook CVE-2025-55182","url":"https://www.facebook.com/security/advisories/cve-2025-55182"}]}