React - CVE-2025-55182
Date de publication :
Une désérialisation non sécurisée des données dans React permet à un attaquant non authentifié, en envoyant des requêtes HTTP spécifiquement forgées, d’exécuter du code arbitraire.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-502: Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
React server
Versions 19.0, 19.1.0, 19.1.1 et 19.2.0
Next.js
Versions antérieures à 15.0.25, 15.1.9, 15.2.6, 15.4.8, 15.5.7, 16.0.7
Version 14.3.0-canary.77
Les librairies suivantes sont également affectées
React-Router
Waku
@parcel/rsc
@vitejs/plugin-rsc
Redwood Sdk
Expo
React-server-dom-webpack
React-server-dom-parcel
Solutions ou recommandations
Mettre à jour les paquets React vers la version 19.0.1, 19.1.2, 19.2.1 ou ultérieure.
Mettre à jour Next vers la version 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 ou ultérieure sinon rétrograder vers la version 14.
Mettre à jour les dépendances dans React Routeur, Expo, Redwood Sdk, Waku, @vitejs/plugin-rsc, react-server-dom-webpack, react-server-dom-parcel vers les dernières versions disponibles.
Des informations complémentaires sont disponibles dans le bulletin de React, Next, Redwood, Waku.