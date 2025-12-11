Une faille de sécurité critique dans React Server Components, baptisée "React2Shell", compromet la bibliothèque JavaScript React et le framework Next.js et expose les serveurs à l'exécution de code à distance



React (également connu sous le nom de React.js ou ReactJS) est une bibliothèque JavaScript front-end gratuite et open source qui vise à rendre la création d'interfaces utilisateur basées sur des composants plus « fluide ». Elle est gérée par Meta (anciennement Facebook) et une communauté de développeurs individuels et d'entreprises. Selon l'enquête Stack Overflow Developer Survey, React est l'une des technologies web les plus couramment utilisées.Next.js est un framework de développement web open source créé par la société privée Vercel qui fournit des applications web basées sur React avec rendu côté serveur et rendu statique. La documentation React mentionne Next.js parmi les « chaînes d'outils recommandées » et le conseille aux développeurs qui « créent un site web rendu côté serveur avec Node.js ». Alors que les applications React traditionnelles ne peuvent rendre leur contenu que dans le navigateur côté client, Next.js étend cette fonctionnalité pour inclure les applications rendues côté serveur.Le 3 décembre 2025, la Fondation React a publié un avis urgent concernant une vulnérabilité critique dans React Server Components (RSC), répertoriée sous le numéro CVE-2025-55182 et à laquelle a été attribué le score de gravité CVSS maximal de 10. La faille a été signalée le 29 novembre par le chercheur en sécurité Lachlan Davidson et affecte les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de trois paquets principaux :et. Une fois exploitée, cette faille, baptisée « React2Shell », permet à des pirates distants d'exécuter des commandes arbitraires sur le serveur. Un problème initialement distinct dans Node.js (CVE-2025-66478) a ensuite été rejeté par le NIST comme étant simplement un doublon du même mécanisme sous-jacent.Wiz, la société qui a enquêté sur cette vulnérabilité, a mis en évidence deux facteurs qui expliquent son niveau de gravité élevé dans l'échelle CVSS : l'exploit fonctionne sur toutes les configurations et ne nécessite qu'une requête HTTP spécialement conçue pour se déclencher. La cause profonde est une erreur de désérialisation logique dans la manière dont RSC traite les requêtes entrantes. Un attaquant non authentifié peut envoyer une charge utile HTTP malveillante à n'importe quel point de terminaison Server Function ; pendant la phase de désérialisation de React, cela entraîne l'exécution arbitraire de JavaScript sur le backend. La Fondation React a refusé de divulguer d'autres détails techniques en attendant une distribution plus large du correctif.L'impact s'étend à toutes les bibliothèques basées sur RSC, y compris Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS et Waku. Les développeurs doivent donc surveiller les mises à jour. La société de sécurité Endor Labs a averti que les configurations par défaut du framework sont immédiatement exploitables, soulignant l'urgence de passer aux versions corrigées (19.0.1, 19.1.2, 19.2.1) pour les trois composants concernés. Jusqu'à ce que ces correctifs puissent être déployés, il est fortement recommandé d'appliquer les règles du pare-feu d'application web (WAF).Les principaux fournisseurs de services cloud ont déjà réagi. Cloudflare a annoncé le 3 décembre avoir mis à jour son WAF afin de protéger ses clients, tandis que Google Cloud Armor, Amazon Web Services (AWS) et d'autres entreprises ont publié des mesures temporaires similaires visant à atténuer les risques liés aux pare-feu. Toutes les parties soulignent que ces règles défensives constituent des mesures provisoires et que la mise à jour rapide des paquets React vulnérables reste la solution définitive.Quel est votre avis sur le sujet ?Trouvez-vous les solutions préconisées pour remédier à cette faille de sécurité crédibles ou pertinentes ?