Vulnérabilité critique dans React et Next.js (CVE-2025-55182)

Si vous exposez des applications web modernes, cette alerte vous concerne. Dashboards, portails clients, boutiques en ligne ou plateformes SaaS : tous les sites construits avec React et Next.js peuvent être touchés par la faille React2Shell. Elle permet à un attaquant non authentifié d’exécuter du code à distance sur un serveur via une simple requête HTTP, même si votre application ne contient pas de fonctions serveur avancées. Cette faille est très critique (CVSS 10.0) et concerne React Server Components (RSC) ainsi que Next.js.

React, c’est quoi ?

React est une bibliothèque JavaScript utilisée pour construire des sites et applications web modernes et interactives. En clair : c’est l’outil qui affiche ce que vous voyez sur un site et met à jour l’écran sans tout recharger.

Pourquoi cette faille est dangereuse

Le problème vient de la façon dont React traite les données envoyées au serveur. Un attaquant peut envoyer des informations malicieuses qui sont interprétées comme du code sur le serveur. Elle ne nécessite aucune authentification, et affecte un grand nombre d’applications.

Versions concernées

• React version 19.0.0 → 19.2.0
• Next.js (App Router) version 15.x → 16.x
• bibliothèques ou plugins embarquant React Server Components (RSC), comme Redwood, Waku, Vite RSC, Parcel RSC, React Router RSC

Que faire immédiatement ?

• Mettre à jour React : 19.0.1, 19.1.2, 19.2.1 ou ultérieure
• Mettre à jour Next.js : 15.0.5 → 16.0.7 ou ultérieure (ou rétrograder vers la 14 si nécessaire)
• Mettre à jour les dépendances RSC : React Router, Expo, Redwood SDK, Waku, @vitejs/plugin-rsc, react-server-dom‑webpack, react-server-dom‑parcel
• Activer / renforcer les règles WAF
• Surveiller les requêtes suspectes 

 Bulletins officiels

• React : Critical security vulnerability in React Server Components
• Next.js : CVE-2025-66478

Partager :

• Partager cette page sur Linkedin
• Imprimer