React - CVE-2026-23869

Date de publication :

Il s'agit d'une vulnérabilité dans les points d’accès Server Function de React Server Components.

React Server Components est un ensemble de composants et de paquets de React pour le rendu côté serveur. Il sert à exécuter une partie de la logique de rendu sur le serveur et à exposer des Server Functions via des frameworks compatibles.

Des requêtes HTTP spécialement forgées peuvent déclencher un traitement anormal lors du décodage côté serveur et provoquer une consommation CPU excessive pendant près d’une minute avant une erreur récupérable. Le problème touche les paquets react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack quand l’application utilise réellement un serveur compatible avec React Server Components.

Elle permet un déni de service à distance.

CVE-2026-23869

[Score CVSS v3.1 : 7.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-400 : Uncontrolled Resource Consumption

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   react-server-dom-webpack versions 19.0.0 jusqu’à 19.0.4,
•   react-server-dom-webpack versions 19.1.0 jusqu’à 19.1.5,
•   react-server-dom-webpack versions 19.2.0 jusqu’à 19.2.4,
•   react-server-dom-parcel versions 19.0.0 jusqu’à 19.0.4,
•   react-server-dom-parcel versions 19.1.0 jusqu’à 19.1.5,
•   react-server-dom-parcel versions 19.2.0 jusqu’à 19.2.4,
•   react-server-dom-turbopack versions 19.0.0 jusqu’à 19.0.4,
•   react-server-dom-turbopack versions 19.1.0 jusqu’à 19.1.5,
•   react-server-dom-turbopack versions 19.2.0 jusqu’à 19.2.4

Contournement provisoire

•   Si le code React de l’application n’utilise pas de serveur, l’application n’est pas affectée.
•   Si l’application n’utilise pas de framework, de bundler ou de plugin de bundler compatible avec React Server Components, l’application n’est pas affectée.

Solutions ou recommandations

•   react-server-dom-webpack versions 19.0.5 et supérieures.
•   react-server-dom-webpack versions 19.1.6 et supérieures.
•   react-server-dom-webpack versions 19.2.5 et supérieures.
•   react-server-dom-parcel versions 19.0.5 et supérieures.
•   react-server-dom-parcel versions 19.1.6 et supérieures.
•   react-server-dom-parcel versions 19.2.5 et supérieures.
•   react-server-dom-turbopack versions 19.0.5 et supérieures.
•   react-server-dom-turbopack versions 19.1.6 et supérieures.
•   react-server-dom-turbopack versions 19.2.5 et supérieures.

Liens