Une faille de sécurité critique dans React Server Components, "React2Shell", affecte la bibliothèque JavaScript React et le framework Next.js et expose les serveurs à l'exécution de code à distance

Une faille de sécurité critique dans React Server Components, baptisée "React2Shell", compromet la bibliothèque JavaScript React et le framework Next.js et expose les serveurs à l'exécution de code à distance

Une faille de sécurité critique dans React Server Components (RSC), baptisée « React2Shell », a donné lieu à une alerte urgente de la part de la Fondation React, après que des chercheurs ont découvert une erreur de désérialisation permettant l'exécution de code à distance sur les serveurs. Référencée sous le nom CVE-2025-55182 avec un score de gravité CVSS maximal de 10, la vulnérabilité critique dans React et Next.js affecte plusieurs paquets RSC et expose les serveurs à des attaques déclenchées par une simple requête HTTP malveillante. L'avis de la Fondation React a entraîné une réaction rapide de la part des fournisseurs de services cloud, tandis que les développeurs sont invités à appliquer sans délai les correctifs publiés.

React (également connu sous le nom de React.js ou ReactJS) est une bibliothèque JavaScript front-end gratuite et open source qui vise à rendre la création d'interfaces utilisateur basées sur des composants plus « fluide ». Elle est gérée par Meta (anciennement Facebook) et une communauté de développeurs individuels et d'entreprises. Selon l'enquête Stack Overflow Developer Survey, React est l'une des technologies web les plus couramment utilisées.

Next.js est un framework de développement web open source créé par la société privée Vercel qui fournit des applications web basées sur React avec rendu côté serveur et rendu statique. La documentation React mentionne Next.js parmi les « chaînes d'outils recommandées » et le conseille aux développeurs qui « créent un site web rendu côté serveur avec Node.js ». Alors que les applications React traditionnelles ne peuvent rendre leur contenu que dans le navigateur côté client, Next.js étend cette fonctionnalité pour inclure les applications rendues côté serveur.


Le 3 décembre 2025, la Fondation React a publié un avis urgent concernant une vulnérabilité critique dans React Server Components (RSC), répertoriée sous le numéro CVE-2025-55182 et à laquelle a été attribué le score de gravité CVSS maximal de 10. La faille a été signalée le 29 novembre par le chercheur en sécurité Lachlan Davidson et affecte les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de trois paquets principaux : react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack. Une fois exploitée, cette faille, baptisée « React2Shell », permet à des pirates distants d'exécuter des commandes arbitraires sur le serveur. Un problème initialement distinct dans Node.js (CVE-2025-66478) a ensuite été rejeté par le NIST comme étant simplement un doublon du même mécanisme sous-jacent.

Wiz, la société qui a enquêté sur cette vulnérabilité, a mis en évidence deux facteurs qui expliquent son niveau de gravité élevé dans l'échelle CVSS : l'exploit fonctionne sur toutes les configurations et ne nécessite qu'une requête HTTP spécialement conçue pour se déclencher. La cause profonde est une erreur de désérialisation logique dans la manière dont RSC traite les requêtes entrantes. Un attaquant non authentifié peut envoyer une charge utile HTTP malveillante à n'importe quel point de terminaison Server Function ; pendant la phase de désérialisation de React, cela entraîne l'exécution arbitraire de JavaScript sur le backend. La Fondation React a refusé de divulguer d'autres détails techniques en attendant une distribution plus large du correctif.

L'impact s'étend à toutes les bibliothèques basées sur RSC, y compris Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS et Waku. Les développeurs doivent donc surveiller les mises à jour. La société de sécurité Endor Labs a averti que les configurations par défaut du framework sont immédiatement exploitables, soulignant l'urgence de passer aux versions corrigées (19.0.1, 19.1.2, 19.2.1) pour les trois composants concernés. Jusqu'à ce que ces correctifs puissent être déployés, il est fortement recommandé d'appliquer les règles du pare-feu d'application web (WAF).

Les principaux fournisseurs de services cloud ont déjà réagi. Cloudflare a annoncé le 3 décembre avoir mis à jour son WAF afin de protéger ses clients, tandis que Google Cloud Armor, Amazon Web Services (AWS) et d'autres entreprises ont publié des mesures temporaires similaires visant à atténuer les risques liés aux pare-feu. Toutes les parties soulignent que ces règles défensives constituent des mesures provisoires et que la mise à jour rapide des paquets React vulnérables reste la solution définitive.

Source : Enregistrement CVE de la vulnérabilité

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les solutions préconisées pour remédier à cette faille de sécurité crédibles ou pertinentes ?

Voir aussi :

Next.js, le framework de développement web open-source, dévoile Next.js 14, la nouvelle version offre un compilateur amélioré Next.js Turbopack et un aperçu de la fonctionnalité Pré-rendu partiel

L'équipe de Meta annonce la sortie de React 19, qui introduit de nouvelles fonctionnalités et améliorations : fonctions asynchrones, composants/actions serveur et prise en charge d'éléments personnalisés

Une faille de sécurité "critique" a été découverte dans OpenSSH, elle affecte la quasi-totalité des systèmes Linux et 14 millions de serveurs connectés à internet sont vulnérables, d'après Qualys

Une faille de sécurité critique, baptisée "BatBadBut", a été découverte dans la bibliothèque standard Rust, mais elle affecte également Erlang, Go, Haskell, Java, Node.js, PHP, Python et Ruby