Failles Critiques dans React et Next.js : Risque d'Exécution de Code à Distance Non Authentifiée

Églantine Montclair

Découverte de la faille React2shell : Une vulnérabilité critique avec CVSS 10.0

Une faille de sécurité de gravité maximale a été révélée dans les React Server Components (RSC), qui, si elle est exploitée avec succès, pourrait permettre l’exécution de code à distance. Cette vulnérabilité, suivie sous l’identifiant CVE-2025-55182, présente un score CVSS de 10.0, ce qui la classe comme une faille critique exigeant une action immédiate. La vulnérabilité a été nommée React2shell par les chercheurs en sécurité. Selon l’équipe React, elle permet « l’exécution de code à distance non authentifiée en exploitant une faille dans la manière dont React décode les payloads envoyés aux endpoints de fonctions serveur React ». Même si votre application n’implémente pas d’endpoints de fonctions serveur React, elle peut tout de même être vulnérable si elle prend en charge les React Server Components.

Dans le paysage numérique actuel, où les applications web de plus en plus complexes reposent sur des frameworks JavaScript avancés, la découverte d’une telle faille représente un défi majeur pour la sécurité des applications. Cette vulnérabilité touche directement le cœur de l’architecture moderne des applications web, mettant en péril des milliers de sites web et d’applications développés avec React et Next.js, deux des frameworks JavaScript les plus populaires au monde.

Origine de la vulnérabilité : Une faille de désérialisation logique

Selon la société de sécurité cloud Wiz, le problème est un cas de désérialisation logique qui résulte du traitement des payloads RSC d’une manière non sécurisée. En conséquence, un attaquant non authentifié pourrait créer une requête HTTP malveillante vers n’importe quel endpoint de fonction serveur, qui, lorsqu’il est désérialisé par React, permet l’exécution de code JavaScript arbitraire sur le serveur.

« Le problème provient du traitement non sécurisé des payloads sérialisés dans le protocole React Flight », explique un expert d’Aikido, société spécialisée dans la sécurité de la chaîne logicielle. « Les payloads malformés ou adverses peuvent influencer l’exécution côté serveur de manière inattendue. Les versions React corrigées incluent une validation plus stricte et un comportement de désérialisation renforcé. »

Cette faille met en lumière les défis inhérents à la sécurité dans les architectures modernes basées sur les composants serveur, où la communication entre le client et le serveur implique des processus complexes de sérialisation et de désérialisation de données. Dans le contexte de React Server Components, ces mécanismes sont essentiels au fonctionnement de l’application, mais représentent également des points d’entrée potentiels pour des attaques sophistiquées.

Mécanisme d’exploitation : Comment la faille compromet les applications React

Pour comprendre l’impact de cette vulnérabilité, il est essentiel d’examiner son mécanisme d’exploitation détaillé. La faille React2shell exploite une faiblesse dans la manière dont React traite les données sérialisées envoyées entre le client et le serveur dans le cadre de l’architecture React Server Components.

Analyse technique du vecteur d’attaque

Lorsqu’une application React Server Components reçoit un payload depuis le client, celui-ci est sérialisé selon le protocole React Flight. Ce protocole est conçu pour transférer efficacement les états des composants entre le client et le serveur. Cependant, la faille réside dans le processus de désérialisation : React ne valide pas suffisamment la structure des payloads reçus avant de les traiter.

Un attaquant peut exploiter cette faille en envoyant un payload spécialement conçu, contenant des instructions malveillantes dissimulées. Lorsque le serveur tente de désérialiser ce payload, il interprète ces instructions comme des données légitimes et les exécute, permettant ainsi à l’attaquant de prendre le contrôle du serveur.

Justin Moore, responsable principal de la recherche sur les menaces chez Palo Alto Networks Unit 42, souligne la nature particulièrement dangereuse de cette faille : « Cette nouvelle faille découverte représente une menace critique car elle est une exploitation de type master key, réussissant non pas en plantant le système, mais en abusant de sa confiance dans les structures de données entrantes. Le système exécute le payload malveillant avec la même fiabilité que le code légitime car il fonctionne exactement comme prévu, mais sur une entrée malveillante. »

Conséquences pratiques pour les développeurs

L’exploitation réussie de cette vulnérabilité peut avoir des conséquences dévastatrices pour une application et son infrastructure :

  1. Exécution de code arbitraire : L’attaquant peut exécuter n’importe quel code JavaScript sur le serveur, lui donnant un contrôle complet sur l’application et potentiellement sur d’autres systèmes connectés au même réseau.

  2. Vol de données sensibles : Une fois le serveur compromis, l’attaquant peut accéder à toutes les données stockées, y compris les informations personnelles des utilisateurs, les clés d’API, les mots de passe et autres secrets.

  3. Escroquerie au phishing et usurpation d’identité : L’attaquant peut utiliser le serveur compromis pour envoyer des emails frauduleux aux utilisateurs de l’application ou créer des pages de phishing indétectables.

  4. Déni de service : L’attaquant peut supprimer ou corrompre des données critiques, ou rendre l’application complètement inutilisable.

  5. Propagation de malwares : Le serveur compromis peut être utilisé comme point de départ pour distribuer des logiciels malveillants aux visiteurs de l’application.

Dans la pratique, une attaque réussie contre une application vulnérable pourrait permettre à un attaquant de prendre le contrôle complet de l’infrastructure backend, avec des répercussions potentiellement désastreuses pour l’organisation responsable de l’application.

Impact sur Next.js et autres frameworks liés à React

La faille React2shell ne touche pas seulement React core, mais également de nombreux frameworks et outils qui s’appuient sur React Server Components. L’un des impacts les plus significatifs concerne Next.js, un framework React populaire largement utilisé pour le développement d’applications web de production.

Vulnérabilité dans Next.js utilisant App Router

La faille affecte également Next.js utilisant App Router et a été assignée l’identifiant CVE-2025-66478, avec un score CVSS de 10.0. Elle impacte les versions >=14.3.0-canary.77, >=15 et >=16 de Next.js. Les versions corrigées sont 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 et 15.0.5.

Selon les experts de sécurité, toute bibliothèque qui intègre RSC est susceptible d’être affectée par cette faille. Cela inclut, mais n’est pas limité à :

  • Vite RSC plugin
  • Parcel RSC plugin
  • React Router RSC preview
  • RedwoodJS
  • Waku

Endor Labs, Miggo Security et VulnCheck ont tous souligné qu’aucune configuration spéciale n’est nécessaire pour exploiter la faille, ajoutant qu’elle est exploitable à la fois sans nécessiter de connexion et via HTTP.

« Un attaquant n’a besoin que d’un accès réseau pour envoyer une requête HTTP spécialement conçue vers n’importe quel endpoint de fonction serveur », explique Endor Labs. « La vulnérabilité affecte les configurations de framework par défaut, ce qui signifie que les déploiements standards sont immédiatement exploitables sans conditions spéciales. »

Statistiques sur l’impact dans le cloud

Selon Wiz, 39% des environnements cloud ont des instances vulnérables à CVE-2025-55182 et/ou CVE-2025-66478. Cette statistique alarmante montre l’ampleur potentielle de l’impact de cette faille à l’échelle mondiale.

Justin Moore de Palo Alto Networks Unit 42 a déclaré que plus de 968 000 serveurs exécutant des frameworks modernes comme React et Next.js ont été identifiés, exposant une surface d’attaque lucrative qui est prête à être exploitée. Ce chiffre souligne l’urgence de la situation, tant en termes de nombre d’applications potentiellement exposées que de gravité potentielle des conséquences d’une exploitation réussie.

Dans le contexte français, où de nombreuses entreprises et startups développent des applications web innovantes basées sur ces technologies, cette faille représente un risque majeur pour la sécurité numérique. Les organisations françaises, qu’elles soient des grandes entreprises, des PME ou des startups technologiques, doivent être particulièrement attentives à cette vulnérabilité et prendre des mesures d’urgence pour se protéger.

Versions affectées et correctifs disponibles

Face à la gravité de cette faille, l’équipe React et les mainteneurs des frameworks concernés ont rapidement publié des correctifs. Il est crucial pour les développeurs et administrateurs système d’identifier rapidement si leurs applications sont affectées et d’appliquer les mises à jour nécessaires.

Bibliothèques React directement concernées

La vulnérabilité impacte les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des packages npm suivants :

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

Ces bibliothèques ont été corrigées dans les versions 19.0.1, 19.1.2 et 19.2.1. Il est essentiel de noter que même si une application n’utilise pas directement ces packages, elle peut toujours être exposée si elle utilise des fonctionnalités de React Server Components.

Tableau des versions affectées et corrigées

Framework/BibliothèqueVersions affectéesVersions corrigéesIdentifiant CVEScore CVSS
React Server Components19.0, 19.1.0, 19.1.1, 19.2.019.0.1, 19.1.2, 19.2.1CVE-2025-5518210.0
Next.js (App Router)>=14.3.0-canary.77, >=15, >=1616.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5CVE-2025-6647810.0

Découvreur et chronologie de la faille

Cette vulnérabilité a été découverte et signalée à Meta par le chercheur en sécurité néo-zélandais Lachlan Davidson le 29 novembre 2025. Le géant des médias sociaux a originally créé et maintenu la bibliothèque JavaScript avant de la transférer à la React Foundation en octobre 2025.

La rapidité avec laquelle le problème a été identifié et corrigé témoigne de l’importance accordée à la sécurité par la communauté React et les chercheurs en sécurité. Cependant, le laps de temps entre la découverte et la publication publique de la faille représente une fenêtre d’opportunité pour les attaquants potentiels.

Dans la pratique, les administrateurs système doivent immédiatement vérifier les versions de React Server Components et Next.js utilisées dans leurs environnements de production, de développement et de test. Toute version identifiée comme affectée doit être mise à jour dès que possible pour réduire la surface d’attaque.

Mesures d’urgence avant l’application des correctifs

Dans l’attente de l’application des correctifs, plusieurs mesures d’urgence peuvent être mises en place pour atténuer le risque d’exploitation de cette vulnérabilité. Bien que ces mesures ne remplacent pas l’application du patch, elles peuvent fournir une couche de protection temporaire.

Déploiement de règles de WAF

Si disponible, il est recommandé de déployer des règles de Pare-feu d’application web (WAF) pour bloquer les requêtes suspectées d’exploiter cette faille. Plusieurs fournisseurs de sécurité, dont Cloudflare, ont déjà annoncé avoir déployé des protections spécifiques pour cette vulnérabilité.

Cloudflare, un fournisseur majeur d’infrastructure web, a déclaré avoir déployé une nouvelle protection dans sa solution WAF basée sur le cloud pour adresser CVE-2025-55182. L’entreprise note que tous ses clients, qu’ils soient sur des plans gratuits ou payants, sont protégés « tant que le trafic de leur application React est proxifié » à travers son service.

Surveillance du trafic HTTP

Il est conseillé de surveiller attentivement le trafic HTTP vers les endpoints de fonction serveur pour toute requête suspecte ou malformée. Des signaux d’alerte peuvent inclure :

  • Des requêtes avec des payloads anormalement volumineux
  • Des requêtes contenant des séquences d’échappement inhabituelles
  • Des tentatives d’accès répétées aux endpoints de fonction serveur
  • Des requêtes provenant d’adresses IP suspectes ou inhabituelles

Des solutions de sécurité comme SIEM (Security Information and Event Management) peuvent être configurées pour détecter et alerter sur ces activités anormales.

Restrictions réseau temporaires

En cas de risque immédiat et élevé, il peut être nécessaire de restreindre temporairement l’accès réseau aux applications affectées. Cette mesure doit être mise en œuvre avec prudence, car elle peut affecter la disponibilité de l’application pour les utilisateurs légitimes.

Dans le contexte français, où la conformité avec le RGPD est une obligation légale, les organisations doivent également prendre en compte les implications potentielles en matière de protection des données en cas de violation de sécurité. La CNIL a récemment renforcé ses exigences concernant la notification des violations de données, rendant crucial la mise en place rapide de mesures de protection.

Recommandations de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’autorité française de cybersécurité, recommande aux administrateurs système de :

  1. Identifier rapidement les systèmes utilisant les versions affectées de React et Next.js
  2. Prioriser l’application des correctifs sur les systèmes exposés à Internet
  3. Mettre en place des mesures de mitigation temporaires si les correctifs ne peuvent pas être appliqués immédiatement
  4. Surveiller les journaux système et les journaux d’application pour toute activité suspecte
  5. Préparer un plan de réponse aux incidents en cas d’exploitation réussie de la faille

Ces recommandations s’alignent sur les bonnes pratiques de cybersécurité définies dans le référentiel ISO 27001 et les directives de l’ANSSI concernant la gestion des vulnérabilités logicielles.

Conclusion : L’urgence de la mise à jour des applications React

La découverte de la faille React2shell représente un rappel crucial de la vulnérabilité inhérente aux technologies web modernes et de l’importance cruciale de la maintenance proactive de la sécurité. Avec un score CVSS de 10.0 et la possibilité d’exécution de code à distance sans authentification, cette faille constitue une menace critique pour les milliers d’applications construites avec React et Next.js à travers le monde.

La nature de cette vulnérabilité, qui exploite une faille fondamentale dans le processus de désérialisation des données entre le client et le serveur, souligne la complexité croissante des défis de sécurité dans les architectures modernes d’applications web. Alors que les entreprises et les développeurs adoptent de plus en plus les React Server Components pour créer des applications plus performantes et réactives, ils doivent également être conscients des risques de sécurité associés à ces technologies.

Pour les organisations françaises, cette faille représente un défi majeur en matière de cybersécurité, particulièrement dans un contexte où la conformité avec le RGPD et les exigences de l’ANSSI impose des standards élevés en matière de protection des données. Les développeurs et administrateurs système doivent traiter cette vulnérabilité avec la plus haute priorité, en appliquant immédiatement les correctifs disponibles et en mettant en place des mesures de mitigation temporaires si nécessaire.

À l’avenir, cette incident devrait encourager une plus grande vigilance concernant la sécurité des frameworks JavaScript populaires et une adoption plus large des pratiques de sécurité par défaut. La communauté React a déjà montré sa capacité à répondre rapidement à ce type de menace, mais la responsabilité finale incombe aux développeurs et organisations qui utilisent ces technologies pour construire des applications accessibles au public.

Face à l’évolution constante des menaces de sécurité, la vigilance et la proactivité restent les meilleures défenses. La faille React2shell servira probablement d’étude de cas dans les années à venir, illustrant à la fois les risques des technologies web modernes et l’importance cruciale de la sécurité dans le développement logiciel.