CVE-2025-55182 (React2Shell) : Vulnérabilité critique dans React Server Components

> Alerte CERT-FR — Vulnérabilité critique avec exploitation active — Mise à jour immédiate requise

Le 3 décembre 2025, React a publié un avis de sécurité concernant la vulnérabilité CVE-2025-55182, également connue sous le nom de React2Shell. Cette faille de sécurité critique permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance (RCE) sur les serveurs utilisant React Server Components.

Le CERT-FR a connaissance de multiples exploitations de cette vulnérabilité depuis le 5 décembre 2025. Les serveurs exposés avec une version vulnérable doivent être considérés comme potentiellement compromis.

Résumé exécutif

• CVE : CVE-2025-55182
• Gravité : Critique (RCE)
• Type : Exécution de code arbitraire à distance
• Authentification requise : Non
• Complexité d'exploitation : Faible
• Statut : Exploitations actives connues
• Date de publication : 3 décembre 2025
• Dernière mise à jour CERT-FR : 11 décembre 2025

Systèmes affectés

Next.js

• Next.js 14.x canary (toutes versions)
• Next.js 15.0.x < 15.0.5
• Next.js 15.1.x < 15.1.9
• Next.js 15.2.x < 15.2.6
• Next.js 15.3.x < 15.3.6
• Next.js 15.4.x < 15.4.8
• Next.js 15.5.x < 15.5.7
• Next.js 16.0.x < 16.0.7

React Server Components

• react-server-dom-webpack 19.0.x < 19.0.1
• react-server-dom-webpack 19.1.x < 19.1.2
• react-server-dom-webpack 19.2.x < 19.2.1
• react-server-dom-parcel 19.0.x < 19.0.1
• react-server-dom-parcel 19.1.x < 19.1.2
• react-server-dom-parcel 19.2.x < 19.2.1
• react-server-dom-turbopack 19.0.x < 19.0.1
• react-server-dom-turbopack 19.1.x < 19.1.2
• react-server-dom-turbopack 19.2.x < 19.2.1

Autres frameworks

• Expo (sans les versions correctives de react-server-dom-webpack)
• React Router (avec support RSC sans correctifs de sécurité)
• Redwood SDK < 1.0.0-alpha.0
• Vitejs (avec plugin-rsc sans correctifs de sécurité)
• Waku (sans les versions correctives de react-server-dom-webpack)

Description technique

Contexte : React Server Components

Les React Server Components (RSC) et React Server Functions sont des technologies relativement récentes introduites avec React 19 (fin 2024). Elles permettent d'exécuter des composants et des fonctions directement sur le serveur, réduisant la taille des bundles JavaScript côté client.

Caractéristiques principales :

• Exécution côté serveur uniquement
• Accès direct aux bases de données et systèmes de fichiers
• Pas de transmission de code au client
• Sérialisation des résultats pour le client

La vulnérabilité

La vulnérabilité CVE-2025-55182 affecte spécifiquement les React Server Functions. Même si une application n'utilise pas explicitement de telles fonctions, elle peut être vulnérable si elle supporte les React Server Components.

Point critique :

Plusieurs frameworks comme Next.js implémentent des React Server Functions par défaut, rendant de nombreuses applications vulnérables sans que les développeurs en soient conscients.

Mécanisme d'exploitation

La faille permet à un attaquant non authentifié de :

1. Injecter du code malveillant dans les React Server Functions

2. Contourner les mécanismes de sérialisation sécurisés

3. Exécuter du code arbitraire sur le serveur avec les privilèges de l'application

Impact :

• Exécution de commandes système arbitraires
• Accès aux bases de données
• Lecture/écriture de fichiers
• Escalade de privilèges
• Compromission complète du serveur

Preuves de concept publiques

Le CERT-FR a connaissance de preuves de concept publiques pour cette vulnérabilité depuis le 5 décembre 2025. Ces PoC facilitent l'exploitation en masse par des attaquants peu expérimentés.

Ressources publiques identifiées :

• Scripts d'exploitation automatisés
• Guides d'exploitation détaillés
• Outils de scan pour identifier les systèmes vulnérables

Exploitations actives

Chronologie des exploitations

• 3 décembre 2025 : Publication de l'avis de sécurité par React
• 5 décembre 2025 : Publication de preuves de concept publiques
• 8 décembre 2025 : CERT-FR confirme des exploitations actives
• 11 décembre 2025 : CERT-FR confirme des exploitations multiples

Indicateurs de compromission

Les billets de blogue de sécurité Wiz.io et Huntress incluent des indicateurs de compromission (IoC) détaillés.

⚠️ Attention : Ces indicateurs n'ont pas été qualifiés par le CERT-FR. Ils doivent être utilisés avec précaution.

Recommandation du CERT-FR

> Les serveurs avec une version vulnérable exposés après la publication des preuves de concept publiques du 5 décembre 2025 doivent être considérés comme compromis.

Solutions et correctifs

Mise à jour immédiate requise

Le CERT-FR recommande de mettre à jour au plus vite les composants vers les versions correctives listées ci-dessous.

Next.js

# Next.js 15.0.x
npm install next@15.0.5

# Next.js 15.1.x
npm install next@15.1.9

# Next.js 15.2.x
npm install next@15.2.6

# Next.js 15.3.x
npm install next@15.3.6

# Next.js 15.4.x
npm install next@15.4.8

# Next.js 15.5.x
npm install next@15.5.7

# Next.js 16.0.x
npm install next@16.0.7

React Server Components

# react-server-dom-webpack
npm install react-server-dom-webpack@latest

# react-server-dom-parcel
npm install react-server-dom-parcel@latest

# react-server-dom-turbopack
npm install react-server-dom-turbopack@latest

Versions minimales sécurisées :

• react-server-dom-webpack >= 19.0.1, >= 19.1.2, ou >= 19.2.1
• react-server-dom-parcel >= 19.0.1, >= 19.1.2, ou >= 19.2.1
• react-server-dom-turbopack >= 19.0.1, >= 19.1.2, ou >= 19.2.1

Autres frameworks

Expo :

npm install react-server-dom-webpack@latest

React Router :

Mettre à jour vers la dernière version avec les correctifs de sécurité pour l'API RSC.

Redwood SDK :

npm install @redwoodjs/sdk@1.0.0-alpha.0

Vitejs (plugin-rsc) :

Mettre à jour le plugin-rsc vers la dernière version avec les correctifs de sécurité.

Waku :

npm install react-server-dom-webpack@latest

Vérification de la version

Next.js :

npm list next

React Server Components :

npm list react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack

Mitigations temporaires

⚠️ Limitations des pare-feu applicatifs web

Le CERT-FR note que plusieurs pare-feu applicatifs web (WAF) ont mis en place des règles de blocage pour cette vulnérabilité. Cependant :

> Bien que ces mécanismes puissent rendre l'exploitation de la vulnérabilité plus difficile, ils ne peuvent pas remplacer une mise à jour vers une version corrective.

Recommandation :

• Utiliser les règles WAF comme mesure temporaire uniquement
• Prioriser la mise à jour vers une version sécurisée
• Ne pas considérer les WAF comme une solution définitive

Actions immédiates si compromission suspectée

Si votre serveur était exposé avec une version vulnérable après le 5 décembre 2025 :

1. Isoler le système du réseau

2. Préserver les preuves (logs, fichiers système)

3. Qualifier la compromission (voir CERTFR-2024-RFX-005)

4. Endiguer l'incident (voir CERTFR-2024-RFX-006)

5. Mettre à jour vers une version sécurisée

6. Réinstaller proprement si nécessaire

7. Auditer les accès et modifications

Impact sur les PME

Pourquoi cette vulnérabilité est critique pour les PME

1. Adoption massive de Next.js

• Next.js est l'un des frameworks React les plus populaires
• De nombreuses PME utilisent Next.js pour leurs sites web
• Beaucoup ignorent qu'elles utilisent React Server Components par défaut

2. Complexité de la mise à jour

• Les mises à jour peuvent casser des fonctionnalités existantes
• Nécessite des tests approfondis
• Peut nécessiter des modifications de code

3. Manque de visibilité

• Les PME ont souvent moins de ressources de sécurité
• Moins de monitoring et de détection d'intrusions
• Peuvent ne pas être au courant de la vulnérabilité

Actions recommandées pour les PME

Immédiat (0-24h) :

1. ✅ Vérifier les versions de Next.js et React Server Components

2. ✅ Identifier les systèmes exposés sur Internet

3. ✅ Mettre à jour les systèmes critiques en priorité

4. ✅ Activer les règles WAF si disponibles

Court terme (1-7 jours) :

1. ✅ Mettre à jour tous les systèmes

2. ✅ Auditer les logs pour détecter des tentatives d'exploitation

3. ✅ Vérifier l'intégrité des systèmes

4. ✅ Former l'équipe sur cette vulnérabilité

Moyen terme (1-4 semaines) :

1. ✅ Mettre en place un processus de veille sécurité

2. ✅ Automatiser les mises à jour de sécurité

3. ✅ Renforcer le monitoring et la détection

4. ✅ Planifier des audits de sécurité réguliers

Bonnes pratiques de sécurité

Gestion des dépendances

1. Automatiser les mises à jour de sécurité

// package.json
{
  "scripts": {
    "audit": "npm audit",
    "audit:fix": "npm audit fix"
  }
}

2. Utiliser des outils de monitoring

• Dependabot (GitHub)
• Snyk
• npm audit
• Renovate

3. Surveiller les CVE

• S'abonner aux alertes CERT-FR
• Suivre les avis de sécurité des éditeurs
• Utiliser des outils de veille sécurité

Configuration sécurisée

1. Principe du moindre privilège

• Exécuter les applications avec des privilèges minimaux
• Isoler les processus
• Utiliser des conteneurs avec des permissions restreintes

2. Monitoring et logging

• Activer les logs détaillés
• Monitorer les accès réseau
• Détecter les comportements anormaux

3. Tests de sécurité

• Effectuer des audits réguliers
• Tester les mises à jour en environnement de staging
• Valider les correctifs avant déploiement

Références et documentation

Avis officiels

• Billet de blogue React - CVE-2025-55182
• Billet de blogue Vercel - CVE-2025-55182
• Bulletin de sécurité Facebook - CVE-2025-55182
• Bulletin CERT-FR - CERTFR-2025-ALE-014

Analyses techniques

• Wiz.io - Analyse approfondie et IoC
• Huntress - Analyse et backdoor Linux

Références CVE

• CVE-2025-55182
• CVE-2025-66478 (rejeté, doublon)

Ressources CERT-FR

• Bulletin d'actualité CERTFR-2025-ACT-053
• Compromission système - Qualification
• Compromission système - Endiguement

Conclusion

La vulnérabilité CVE-2025-55182 (React2Shell) est une faille de sécurité critique avec des exploitations actives confirmées. Tous les systèmes utilisant React Server Components doivent être mis à jour immédiatement.

Points clés à retenir :

• ✅ Mise à jour urgente requise pour tous les systèmes affectés
• ✅ Exploitations actives confirmées depuis le 5 décembre 2025
• ✅ Les WAF ne remplacent pas les mises à jour
• ✅ Les serveurs exposés après le 5 décembre doivent être considérés comme compromis
• ✅ Audit et qualification nécessaires en cas de compromission suspectée

Action immédiate :

Vérifiez vos versions de Next.js et React Server Components, et mettez à jour sans délai vers les versions sécurisées.

Besoin d'aide pour sécuriser votre application Next.js ? Découvrez notre service de **pentest web** pour identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées.