AgenceEvana
Retour aux bulletins
Critique2025-12-05CVSS 9.8CVE-2025-55182 (2025-12-03)reactnext.jsrceserver-componentsweb

React2Shell — Exécution de code à distance dans React Server Components

Une vulnérabilité critique dans React Server Components permet l'exécution de code arbitraire à distance sans authentification. Exploitation active confirmée 3 jours après la disclosure — les applications Next.js, Expo et React Router sont affectées.

Contexte

Le CERT-FR a émis l'alerte CERTFR-2025-ALE-014 concernant la vulnérabilité CVE-2025-55182, surnommée React2Shell. Il s'agit d'une faille critique permettant l'exécution de code arbitraire à distance (RCE) dans les React Server Components (RSC) et React Server Functions — sans authentification.

Les applications peuvent être vulnérables même sans utiliser explicitement les RSC, si le framework sous-jacent active ces fonctions par défaut.

Chronologie

  • 3 décembre 2025 — Disclosure initiale par l'équipe React
  • 5 décembre 2025 — Publication d'un proof-of-concept (PoC) public
  • 8 décembre 2025Exploitation active confirmée
  • 11 décembre 2025 — Exploitation généralisée observée ; tout serveur exposé après la publication du PoC doit être considéré comme potentiellement compromis
  • 12 février 2026 — Clôture de l'alerte CERT-FR (la menace persiste pour les systèmes non patchés)

Produits et versions affectés

React (packages serveur)

  • react-server-dom-webpack / parcel / turbopack
    • 19.0.x < 19.0.1
    • 19.1.x < 19.1.2
    • 19.2.x < 19.2.1

Next.js

  • 14.x (versions canary)
  • 15.0.x < 15.0.5
  • 15.1.x < 15.1.9
  • 15.2.x < 15.2.6
  • 15.3.x < 15.3.6
  • 15.4.x < 15.4.8
  • 15.5.x < 15.5.7
  • 16.0.x < 16.0.7

Autres frameworks affectés

  • Expo (versions non patchées)
  • React Router avec support RSC
  • Redwood SDK < 1.0.0-alpha.0
  • Vitejs plugin-rsc
  • Waku (versions non patchées)

Vecteur d'attaque

La vulnérabilité réside dans le mécanisme de sérialisation des Server Components et Server Functions. Un attaquant peut envoyer une requête HTTP spécialement crafted pour injecter et exécuter du code arbitraire côté serveur, sans aucune authentification.

L'exploitation est triviale : une seule requête HTTP suffit.

Impact

  • Exécution de code arbitraire sur le serveur avec les privilèges de l'application
  • Accès aux variables d'environnement, bases de données, clés API et secrets applicatifs
  • Backdoor PeerBlight identifiée dans des campagnes d'exploitation (backdoor Linux persistante)
  • Tout serveur exposé après le 5 décembre 2025 sans patch doit être considéré comme compromis

Indicateurs de compromission

Les analyses de Wiz et Huntress font référence à la backdoor PeerBlight — un implant Linux persistant déployé post-exploitation. Consulter les rapports techniques de ces éditeurs pour les IOCs détaillés.

Remédiation

  1. Mettre à jour immédiatement vers les versions patchées listées ci-dessus (React, Next.js, Expo, etc.).
  2. Auditer les serveurs exposés entre le 5 décembre 2025 et la date de patch — les considérer comme potentiellement compromis.
  3. Les règles WAF offrent une protection partielle mais ne substituent pas au patch.
  4. Rotation des secrets (variables d'environnement, clés API, tokens) accessibles depuis les serveurs affectés.
  5. Rechercher la présence de la backdoor PeerBlight sur les systèmes Linux exposés.

Références

  • CERTFR-2025-ALE-014 — Alerte CERT-FR
  • Blog sécurité React (3 décembre 2025)
  • Changelog Vercel / Next.js