Le 3 décembre 2025, les responsables de React ont divulgué une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée dans les composants du serveur React (RSC), suivie comme CVE-2025-55182. Une preuve de concept fonctionnelle a été rendue publique et Wallarm a immédiatement commencé à constater des tentatives d'exploitation généralisées dans les environnements clients.
Qu’est-ce que CVE-2025-55182 ?
CVE-2025-55182 est une vulnérabilité d'exécution de code à distance (RCE) non authentifiée, classée CVSS 10.0, et est déjà activement exploitée dans la nature. Pour plus de détails, vous pouvez vous référer à cet avis. Le problème affecte les implémentations côté serveur de React, telles que réagir-server-dom-webpack et réagir-server-dom-parcel (versions 19.0.0, 19.1.x, 19.2.0).
La vulnérabilité est due à une résolution d'exportation non sécurisée lors de la désérialisation des métadonnées de l'action RSC, en particulier lors du renvoi de moduleExports.[metadata[2]]sans contrôles de sécurité propriétaires ou prototypes.
Le PoC accessible au public montre que les attaquants peuvent créer des charges utiles d'actions RSC malveillantes qui conduisent directement à l'exécution de code arbitraire via vm.runInThisContext(…).
Qu'est-ce que CVE-2025-66478 ?
En plus du CVE-2025-55182 affectant React, le problème affecte également les implémentations de Next.js, suivies sous CVE-2025-66478. Selon des rapports publics, la même faille de désérialisation RSC sous-jacente affecte Next.js lors de l'utilisation de ses composants compatibles RSC ou du rendu côté serveur via les packages server-dom de React.
En d'autres termes : CVE-2025-66478 n'est pas une vulnérabilité nouvelle et indépendante, c'est le même bug de désérialisation RSC que CVE-2025-55182, mais il se manifeste via Next.js. Par conséquent, les applications Next.js qui utilisent RSC doivent être considérées comme vulnérables et doivent appliquer les mêmes correctifs ou atténuations.
quel est le Impact?
Un exploit réussi permet aux attaquants de :
- Atteindre exécution complète de code à distance sur le serveur exécutant l'application React.
- Lire et écrire des fichierspermettant aux attaquants d'intensifier leur intrusion, de maintenir l'accès, de déployer des outils supplémentaires ou de mener d'autres attaques.
- Prise potentielle du contrôle total des services concernés en fonction des privilèges de l'environnement.
Étant donné que l’exploit n’est pas authentifié, qu’il est extrêmement facile à utiliser comme arme et qu’il circule déjà publiquement, le risque est sérieux et immédiat.
Comment Wallarm se protège-t-il contre ces vulnérabilités ?
Wallarm offre déjà une protection complète et prête à l'emploi contre les tentatives d'exploitation associées à CVE-2025-55182.
Plus précisément, Wallarm a commencé à détecter et à bloquer les premières tentatives d’exploitation peu de temps après leur divulgation. Pour renforcer la couverture, Wallarm a également mis en œuvre des règles de détection supplémentaires conçues pour identifier les tentatives d'exploitation des chemins d'exécution non sécurisés côté serveur exploités dans cette vulnérabilité. Ces règles visent à capturer le comportement caractéristique des attaquants qui tentent de :
- Activer les évaluations côté serveur ou les échappements sandbox
- Exécutez des commandes système arbitraires.
- Générez de nouveaux processus ou invoquez des utilitaires système
- Lire ou écrire des fichiers sensibles sur le serveur
- Tirez parti des fonctionnalités utilitaires pour faire évoluer vos actions ou opérations en chaîne.
En d’autres termes, les protections améliorées sont adaptées pour détecter les modèles d’exploitation adaptés à la manière dont les attaquants abusent du flux de désérialisation RSC vulnérable pour atteindre les API de serveur sensibles et exécuter du code à distance.
Ces protections sont appliquées automatiquement et ne nécessitent aucune action de la part des clients Wallarm.
Au cours des deux premières heures qui ont suivi la publication du PoC, Wallarm a observé plus de 4 100 tentatives d'exploitation ciblant les infrastructures des clients et ce nombre continue de croître. La grande majorité de ces attaques étaient entièrement automatisées et provenaient de botnets et de scanners opportunistes tentant d’exploiter la vulnérabilité à grande échelle. La plupart des tentatives ont réutilisé une structure de charge utile RCE presque identique, étroitement alignée sur les modèles démontrés dans le PoC public. Un exemple d’une telle attaque est présenté dans la figure suivante.
Correction recommandée
- Mettez immédiatement à jour les packages React server-dom vers les versions corrigées :
19.0.1, 19.1.2, 19.2.1 - Examinez le code d'application qui s'appuie sur les composants du serveur React ou sur les actions du serveur pour vous assurer que les modules sensibles côté serveur ne sont pas inutilement exposés.
- Si des instances vulnérables de composants React Server destinés au public sont identifiées dans votre infrastructure, lancez une enquête pour évaluer la compromission potentielle et déterminer si des tentatives d'exploitation ont réussi avant d'appliquer le correctif.
Conclusion
Les applications modernes fonctionnent dans des écosystèmes où des cadres complexes et de nombreuses dépendances signifient que de nouvelles vulnérabilités peuvent apparaître à tout moment, faisant du risque d'exposition Zero Day une réalité constante. Cela souligne la nécessité d’une stratégie de sécurité de défense en profondeur à plusieurs niveaux pour limiter l’impact des menaces émergentes.
Wallarm soutient cette approche en :
- Protéger de manière proactive contre les jours zéro du Web et des API, bloquant souvent automatiquement les tentatives d'exploitation
- Identification des hôtes exposés ou non protégés via l'API Attack Surface Management (AASM), réduisant ainsi les opportunités pour les attaquants
- Sécuriser le L'équipe de recherche de Wallarm surveille en permanence les menaces émergentes et améliore la protection des produits. pour suivre l'évolution des techniques des attaquants.
Étant donné que les menaces du jour zéro sont toujours possibles, Wallarm aide les organisations à rester résilientes et à anticiper les attaques potentielles.