Une faille critique dans la bibliothèque React a été corrigée et les développeurs sont invités à l’actualiser rapidement ainsi que le framework Next.js. Une urgence similaire à la vulnérabilité Log4j prévient un expert.
Alerte maximale pour les développeurs déclenchée par Wiz (filiale cybersécurité de Google) après la découverte d’une faille critique dans la bibliothèque React 19 pour la création d’interface d’application. Ils sont invités à la mettre à jour en urgence, ainsi que le framework Next.js qui l’implémente et qui a reçu une CVE distincte. Les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 de React sont concernées. Pour Next.js, il s’agit des versions 15.x et 16.x.
La vulnérabilité CVE-2025-55182 touche le protocole Flight RSC (React Composant Serveur) qui assure la communication entre le client et le serveur pour RCS, en envoyant les arborescences de composants sérialisées du serveur au client. « La faille est présente dans la configuration par défaut des applications concernées, ce qui signifie que les déploiements standard sont immédiatement exposés », explique Wiz. Il ajoute, « nos tests d’exploitation montrent qu’une application Next.js standard, créée avec create-next-app et déployée en production, est vulnérable sans aucune modification spécifique du code par le développeur ».
Un fort risque d’exploitation de la faille
Concrètement, la faille entraîne une désérialisation logique dans le package serveur de React. Elle lui donne la possibilité de traiter les charges utiles RSC de manière non sécurisée. Selon les chercheurs de Wiz, lorsqu’un serveur reçoit une charge utile spécialement conçue et malformée, il ne parvient pas à en valider correctement la structure. Ainsi, les données contrôlées par un attaquant peuvent en influencer la logique d’exécution, ce qui entraîne l’activation de privilèges de code JavaScript. Pour exploiter la vulnérabilité de React, il suffirait à un attaquant d’envoyer une requête HTTP spécialement conçue au serveur. Pour des raisons de sécurité, les chercheurs de Wiz n’ont pas détaillé la méthode.
Pour Johannes Ullrich, directeur de la recherche au SANS Institute, « il s’agit d’une vulnérabilité très grave » et s’attendre « à ce que des exploits publics soient découverts d’ici un jour ou deux ». Il observe que des fournisseurs de WAF comme Cloudflare ont déjà mis en place des règles pour protéger les applications contre d’éventuelles exploitation. « Mais même les applications web protégées par ces systèmes doivent être corrigées, au cas où des attaquants trouveraient des moyens de contourner ces mécanismes de protection », glisse-t-il. Des failles à ne pas prendre à la légère confirme Tanya Janca, experte en sécurité applicative « elles devraient être traitées de la même manière que Log4j et toutes les applications devraient être passées au crible ».