Points clés à retenir
- CVE-2025-55184 est une vulnérabilité de déni de service (DoS) dans les React Server Components (RSC), et non une faille d'exécution de code à distance.
- Le problème est étroitement lié à React2Shell (CVE-2025-55182) et provient de la même couche de désérialisation du protocole React Flight.
- Aikido détecte déjà CVE-2025-55184 et fournit une checklist intégrée pour aider les équipes à vérifier si elles sont réellement exposées et entièrement corrigées.
- Une requête spécialement conçue peut déclencher une boucle infinie ou un état de blocage, rendant les serveurs affectés indisponibles.
- Un correctif initial incomplet a conduit à une vulnérabilité subséquente, CVE-2025-67779, ce qui signifie que certaines équipes doivent procéder à une nouvelle mise à jour.
- La plupart des applications impactées utilisent le Next.js App Router ou d'autres frameworks compatibles RSC.
TL;DR : Êtes-vous toujours exposé ?
Si vous n'avez mis à niveau que pour corriger CVE-2025-55182 (React2Shell), vous pourriez toujours être vulnérable.
CVE-2025-55184 affecte les chemins de code RSC adjacents et peut permettre aux attaquants de rendre votre application indisponible, même sans obtenir d'exécution de code. Vous devez vous assurer que vous utilisez les dernières versions corrigées de React et Next.js, y compris les correctifs pour la vulnérabilité subséquente CVE-2025-67779.
Étapes de remédiation
1. Mettre à niveau les packages React et RSC
Assurez-vous d'utiliser les dernières versions corrigées de React qui corrigent entièrement les problèmes de RCE et de DoS dans la logique de désérialisation du protocole Flight.
2. Mettre à niveau Next.js et les frameworks RSC
- Les utilisateurs de Next.js devraient mettre à niveau vers la dernière version corrigée de leur branche de version majeure.
- Les applications utilisant l'App Router ou les Server Functions sont les plus exposées.
- Évitez de vous fier uniquement aux premiers correctifs post-React2Shell, car certains étaient incomplets.
3. Relancer une analyse pour les CVEs subséquentes
Étant donné que le correctif initial de CVE-2025-55184 était incomplet, vous devez confirmer que :
- CVE-2025-67779 est également corrigée
- Aucune dépendance RSC transitive vulnérable ne subsiste
4. Valider avec Aikido
Effectuez une nouvelle analyse pour vérifier :
- Les packages RSC vulnérables sont entièrement supprimés
- Les chemins de sérialisation affectés ne sont plus accessibles
- Votre mise à niveau élimine réellement l'exposition au runtime, et pas seulement l'indicateur de dépendance
Contexte
Le 3 décembre, l'écosystème React a été secoué par une vulnérabilité critique d'exécution de code à distance dans les React Server Components, CVE-2025-55182, largement surnommée React2Shell. Dans notre précédent blog, nous avons exploré comment une désérialisation non sécurisée dans le protocole RSC « Flight » permettait à des attaquants non authentifiés d'envoyer des requêtes HTTP spécialement conçues qui pouvaient entraîner une prise de contrôle complète du serveur dans les applications React/Next.js par défaut.
Depuis lors, alors que l'industrie s'empressait de corriger et de se protéger contre la 55182, des faiblesses supplémentaires ont été découvertes dans des chemins de code adjacents, conduisant à de nouveaux avis de sécurité et CVEs. L'une d'entre elles est CVE-2025-55184, qui, bien que n'étant pas une faille d'exécution de code à distance comme React2Shell, représente toujours un risque sérieux pour la disponibilité.
Approfondissement
Qu'est-ce que CVE-2025-55184 ?
CVE-2025-55184 est une vulnérabilité de déni de service causée par une gestion non sécurisée d'entrées spécialement conçues dans le runtime des React Server Components.
Un attaquant peut envoyer une requête RSC mal formée qui :
- Déclenche une boucle infinie, ou
- Force le serveur dans un état de blocage
Une fois déclenché, le serveur peut cesser de répondre au trafic légitime jusqu'à son redémarrage.
Son lien avec React2Shell
Ces vulnérabilités ne sont pas des failles indépendantes :
- Les deux découlent du protocole React Flight, qui permet aux données structurées du client d'influencer le rendu et l'exécution côté serveur.
- CVE-2025-55184 a été découverte lors d'audits menés suite à React2Shell, alors que les chercheurs exploraient la logique de désérialisation adjacente.
- D'autres problèmes connexes sont apparus, notamment :
- CVE-2025-55183 (exposition du code source)
- CVE-2025-67779 (correctif incomplet pour 55184)
- CVE-2025-55183 (exposition du code source)
Ce schéma met en évidence une surface de risque systémique dans la conception de la sérialisation des RSC.
Pourquoi les attaques sur la disponibilité restent pertinentes
Contrairement à React2Shell :
- Les attaquants n'obtiennent pas d'accès shell
- Aucune exécution de code arbitraire n'a lieu
Mais :
- Les serveurs peuvent être mis hors ligne à distance
- Les attaques sont non authentifiées
- Une exploitation répétée peut entraîner des pannes, une dégradation des performances ou des redémarrages forcés.
Pour de nombreuses équipes, les temps d'arrêt sont tout aussi dommageables qu'une compromission.
Qui est concerné ?
Vous pourriez être impacté si votre application :
- Utilise des React Server Components
- Exécute le Next.js App Router
- Expose des fonctions serveur ou des endpoints RSC
- N'a pas été entièrement mis à jour après les avis de sécurité React/Next.js de décembre
Même si vous n'utilisez pas explicitement de logique serveur, les configurations par défaut du framework peuvent toujours exposer les chemins de code vulnérables.
Sévérité
- Score CVE : Élevé (Impact sur la disponibilité)
- Impact : Déni de service
- Vecteur d'attaque : À distance, non authentifié
- Exploitabilité : Faible complexité
Chronologie
- Fin novembre : React2Shell (CVE-2025-55182) divulgué
- Début décembre : Faiblesses RSC supplémentaires découvertes
- Du 3 au 5 décembre : CVE-2025-55184 divulgué et corrigé
- Jours suivants : Correctif incomplet identifié → CVE-2025-67779 émis
Scannez votre base de code maintenant
Aikido suit les CVE-2025-55184, CVE-2025-67779, et la famille plus large des vulnérabilités liées aux RSC.
Connectez vos dépôts pour :
- Identifier les versions vulnérables de React et Next.js
- Déterminer si les chemins RSC à risque sont réellement atteignables
- Valider que vos mises à niveau éliminent complètement l'exposition
Commencez à scanner gratuitement avec Aikido.
Sécurisez votre logiciel dès maintenant.
