Une faille de sécurité exceptionnellement grave dans React Server Components permet aux attaquants d’exécuter du code à distance sans authentification. Les développeurs qui utilisent React en combinaison avec des packages et frameworks spécifiques doivent mettre à jour immédiatement pour éviter les risques.
Des chercheurs en sécurité ont découvert une vulnérabilité exceptionnelle dans React. React est une bibliothèque open source intégrée dans de nombreuses applications en ligne. Plus de six pour cent de tous les sites web dans le monde utilisent React selon les estimations, et selon Wiz, 39 pour cent de tous les environnements cloud sont vulnérables.
React a confirmé la vulnérabilité. Le bogue se situe dans la façon dont React Server Components traite certaines requêtes. L’erreur permet aux attaquants d’exécuter leur propre code sur le serveur sans se connecter. La vulnérabilité est connue sous le nom de CVE-2025-55182 et a reçu le score de gravité le plus élevé de 10 sur 10.
L’erreur affecte les applications React qui utilisent Server Components via des packages comme react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack. Les versions vulnérables sont 19.0, 19.1.0, 19.1.1 et 19.2.0. Même si une application n’utilise pas React Server Functions, elle peut néanmoins être vulnérable si Server Components sont activés.
Comment réagir
React recommande de mettre à jour le plus rapidement possible vers une version sécurisée : 19.0.1, 19.1.2 ou 19.2.1. Compte tenu de la gravité mais aussi de la simplicité du bogue, l’exploitation par des pirates semble presque inévitable à court terme.
Les développeurs qui utilisent un framework React prenant en charge Server Components, comme Next.js, React Router, Waku, Redwood ou des bundlers comme Parcel et Vite, courent des risques. Ces projets utilisent ou prennent en charge les packages React affectés. Tant les systèmes de production que les environnements de développement peuvent être affectés.
React collabore avec les fournisseurs d’hébergement sur des mesures de sécurité temporaires, mais souligne que seule une mise à jour offre une protection suffisante. Des instructions séparées sont disponibles pour chaque framework et bundler pour effectuer la mise à jour. Vous trouverez plus d’informations à ce sujet ici.
La mise à jour peut représenter beaucoup de travail. Google indique lui-même dans un article de blog à quel point le bogue est critique, et appelle les clients à effectuer immédiatement des mises à jour pour les applications dans Cloud Run ou App Engine, Google Kubernetes Engine, Compute Engine et Firebase. Une nouvelle règle Cloud Armor Web Application Firewall doit temporairement fournir une couche de défense supplémentaire. AWS réagit de la même manière. Le WAF n’offre cependant pas de protection permanente et sert de méthode pour gagner du temps afin d’effectuer les mises à jour nécessaires.
L’erreur a été découverte le 29 novembre via le programme de bug bounty de Meta. Le 3 décembre, la faille a été rendue publique et le correctif a été publié. Plus de détails techniques n’ont initialement pas été partagés, mais entre-temps, du code pour une exploitation active est publiquement disponible. Les applications qui utilisent React exclusivement côté client, ou qui n’utilisent pas Server Components, ne sont pas affectées.