Synthèse
Nos partenaires nous ont signalé une nouvelle vulnérabilité, la CVE-2025-55182, qui affecte plusieurs frameworks basés sur React. Celle-ci expose une faille critique dans la manière dont le protocole des Server Functions de React traite les requêtes Flight entrantes. De son côté, l'équipe Next.js a publié un avis (CVE-2025-66478) pour suivre l'impact de cette vulnérabilité.
À ce jour, aucune exploitation active dans la nature n'a été observée. Néanmoins, Akamai a pris l'initiative de déployer une règle rapide Adaptive Security Engine afin de protéger ses clients contre cette menace.
Informations sur cette vulnérabilité
Le cœur du problème réside dans une désérialisation non sécurisée, qui permet à un attaquant d'analyser et de développer des données contrôlées sans validation ni assainissement suffisants. Remarque : cette vulnérabilité ne nécessite aucune authentification, ce qui la rend particulièrement facile à exploiter.
Au cours de ce processus, le mécanisme de désérialisation développe implicitement les propriétés de l'objet, ce qui l'expose à des attaques de pollution du prototype. En injectant des clés malveillantes dans le flux de données, un attaquant peut altérer les prototypes fondamentaux d'un objet et modifier le comportement de l'application Web lors de l'exécution.
Lorsque ce vecteur est combiné à certains chemins d'exécution des React Server Components, l'attaque peut aller jusqu'à l'exécution de code à distance (RCE) sur le serveur cible. Cela représente un risque particulièrement important pour les applications Web qui s'appuient fortement sur les React Server Components et, plus largement, sur le modèle d'exécution des Server Functions, où les limites de confiance sont étroitement associées aux protocoles de sérialisation. (Pour en savoir plus, consultez l'article de blog publié par l'équipe React.)
La vulnérabilité est présente dans les versions 19.0, 19.1.0, 19.1.1, et 19.2.0 des composants suivants :
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
Sont concernés les frameworks et bundlers suivants :
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Atténuation avec Akamai App & API Protector
Le 3 décembre 2025, Akamai a déployé une règle rapide Adaptive Security Engine pour les clients d'App & API Protector afin de fournir une couverture complète contre cette menace.
3000976 : détection d'une attaque par exécution de code à distance React (CVE-2025-55182)
Résumé
Une nouvelle règle a été déployée au sein d'Akamai App & API Protector pour protéger nos clients contre cette menace. Toutefois, la méthode de défense la plus efficace consistera toujours à appliquer rapidement les correctifs offerts par le fournisseur. En raison de la gravité de cette faille, il est impératif d'appliquer les correctifs dès que possible.
Le groupe Security Intelligence d'Akamai continuera de surveiller, générer des rapports et créer des mesures d'atténuation des menaces telles que celles-ci pour nos clients et la communauté de sécurité dans son ensemble. Pour rester au fait des dernières actualités du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.
Balises
